RAS-E RAS-EW RAS-EC RAS-ECW
Contents
1. RAS EC 400 XY 220 XY Routeur cellulaire 4G 3G GPRS EDGE selon code XY Routeur 3G GPRS EDGE XY HG Routeur 4G 3G GPRS EDGE XY LE Prise Ethernet en secours du r seau cellulaire M2Me ready Liste de 25 utilisateurs distants Filtrage individualis des utilisateurs distants e Firewall SPI MN MN VPN IPSEC amp SSL H H Passerelle s rie Raw TCP et UDP Telnet Modbus Unitelway Ethernet 10 100 BT 4 2 RS232 1 RS485 1 USB 1 1 Entr e TOR pour email d alarmes 1 1 Configuration HTTPS HTML SSH e e Fonctions avanc es de routeur IP i S NAT port forwarding SNMP DHCP Page 12 Manuel d utilisation 9022309 01 Routeur RAS Routeur avec prises Ethernet et interfaces cellulaire et Wifi RAS ECW 400 XY 220 XY Routeur cellulaire 4G 3G GPRS EDGE selon code XY Routeur 3G GPRS EDGE XY HG e Routeur 4G 3G GPRS EDGE XY LE Interface WiFi 2 4 GHz et 5 GHz client ou point d acc s Prise Ethernet en secours du r seau cellulaire M2Me ready e Liste de 25 utilisateurs distants Filtrage individualis des utilisateurs distants e Firewall SPI M VPN IPSEC amp SSL MN MN Passerelle s rie Raw TCP et UDP Telnet Modbus S Unitelway Ethernet 10 100 BT 4 2 RS232 e 1 RS485 1 USB 1 1 Entr e TOR pour email d alarmes 1 1 Configuration HTTPS HTML SSH e e Fon2. 66 5 CONFIGURATION DU ROUTEUR RAS SELON LE SCENARIO 5 69 6 CONFIGURATION DU ROUTEUR RAS SELON LE SCENARIO 6 ERKENNEN 72 Page 4 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT ee 77 1 ACCES A INTER NET Ee ee Ee ee 78 1 1 ll 78 1 2 Interface Ethernet WAN 20 25 24 05 crns0etntisiconseneedensen nf e aa aaie aeeai 78 1 3 Interface WAN cellulaire nenne 80 1 3 1 Configuration de la carte SIM 1 ou de la carte SIM 80 1 3 2 Cas o deux cartes SIM sont utilis es en secours l une de l autre 0 000010100100 81 1 3 3 Configuration du contr le de la connexion cellulaire 83 1 4 interface WAN WEG EE 84 2 Ai 2 Lien dm ene sn scremee encens es emma no cd uen Reine 85 2 1 Principes de configuration inisnuelente 85 2 2 Mehdi Ethernet el iPhone EE E Eege 86 2 2 1 Param tres Ports Ethernet s ssssnsnesnsnssnisinrisinrinierarinrarinrarisiarininranrnrarrernrenrerenne 86 2 2 2 Param tres R seau LAN se 86 2 2 3 Param tres Acc s distant 87 2 2 4 Param tres Param tres avanc s mn 87 2 3 Menu Serveur DHOP Ae ees dek deeg Tite Sen AE AE 89 2 4 Menu Liste des quipements ss 90 2 5 Menu Point d acc s WiFi d nnmnnn nrnnnnnn nenene nenne nenene 91 3 PARAMETRAGE DE LA CONNEXION
3. ll IPL A 400 site Accueil w Configuration Interface WAN Interface LAN Ethernet et IP Serveur DHCP Liste des quipements v Acc s distant Liste des utilisateurs Droits d acc s Moyens d acc s v R seau gt Connexions VPN Routage Redondance VRRP Redirection de port NAT avanc DynDNS Qos DiffServ gt S curit b Passerelles s rie b Alarmes b Syst me Diagnostics gt Maintenance propos gt Accueil gt Configuration gt R seau gt NAT avanc gt R gle SNAT Geen adresse IP Laisser le champ vide pour que la r gle s applique toutes les adresses IP Saisir une adresse IP seule ex 192 168 0 1 ou une adresse r seau ex 192 168 0 0 24 ou 192 168 0 0 255 255 255 0 Champs port Laisser le champ vide pour que la r gle s applique tous les ports Entrer un num ro sous la forme xx pour d signer un port unique ex 80 pour HTTP Entrer un num ro sous la forme xx yy zz pour d signer un groupe de port ex 21 80 pour sp cifier FTP et HTTP Entrer un num ro sous la forme xx yy pour d signer une plage de port ex 80 00 pour d signer tous les ports entre 80 et 00 Champ Nouvelle source Saisir une adresses IP seule ex 192 168 10 1 Laisser le champ vide ou saisir 0 0 0 0 pour ne pas effectuer de translation Null NAT Active e Trame modifier Adresse IP source Adresse IP destination Protocole Tous Y Translation Nouvelle adresse IP source LEnregistrer Annuler
4. ne 28 5 5 Sc nario 5 Utilisation du r seau Usine et du r seau cellulaire en secours 30 5 6 Sc nario 6 Utilisation du r seau Usine et du r seau WiFi en secours 32 Lag we DEE 35 1 DESCRIPTION DU PRODUIT e deeg dee AE dek 35 1 1 RI ASS SAR E E E E nn SR Un nt f ANS Nue 35 1 2 BOLRDNS HOUSSOIRS Un AU sr in on ne mers tete 35 1 3 Conpscheuts 2ezee edit gZeeeg Eege ee ERR desc erentiecenne ent ENEE EE ENEE 36 1 4 ROUTEUT RAS Lu lost n eus dns tient henende dae sp atiera D Meme bande en nat te 38 1 5 Routeur RAS E ou BAS EW option WE 39 1 6 Routeur cellulaire RAS EC ou RAS ECW option Wu 41 2 INSTALLER LE ROUTEUR SUR LE RAIL DIN nnnenerrererrnenenennnnnnenee 43 3 RT Ta En gn EE 43 4 MENTOR 44 5 MISE A LA TERRE Ee Ee a r aa aeaa a a aaa aae eg 44 6 CONNEXIONS RJ45 ETHERNET 10 100 EEN EE EEN nnne EEN 44 7 CONNEXION A LINTEREACERSZS exEeEEEEREREENEEERENNEESEEEEEREESRENEEESENEE EES NNEEENEEEEEEENESSENCN 44 Routeur RAS Manuel d utilisation 9022309 01 Page 3 SOMMAIRE INSTALLATION 8 CONNEXION A L INTERFACE RS485 EE EEEEEEEEEEEEEEEEEEn 45 9 RACCORDEMENT DES ENTREES SORTIES ananaaaaananananaaaaaoao 000 e0n0e0n0n0nenenenennenennnnennnne 45 10 RACCORDEMENT AU RESEAU CELLULAIRE sense 46 10 1 Contr les avant installation 46 10 2 ANTENNE eege SE dees EE D Eege 46 10 3 D port de l
5. Saisir le nom de l quipement de la Machine automate de pompage par exemple Param tres Adresse IP Saisir l adresse IP de l quipement e Cliquer e Suivant e ETAPE 4 UTILISATEURS DISTANTS La page Liste des utilisateurs distants est affich e Cette page permet d enregistrer la liste des utilisateurs distants autoris s Remarque Par d faut le nom et le mot de passe de chaque utilisateur est v rifi mais pas le certificat du PC distant Cliquer sur le bouton Ajouter pour ajouter un utilisateur la liste Les champs sur fond rouge doivent imp rativement tre saisis Case cocher Actif Elle permet de retirer temporairement un utilisateur de la liste Param tre Nom complet C est le libell qui appara t dans le premier champ de la liste des utilisateurs autoris s Il permet en particulier de garder la trace de chaque connexion de l utilisateur dans le journal Param tres Email et N de t l phone L adresse mail permet l mission d un email d alarme Le N de t l phone permet l envoi d un SMS routeur cellulaire seulement Param tres Nom d utilisateur et mot de passe Ces deux codes identifient et authentifient l utilisateur distant e Cliquer e Suivant Page 74 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE AU MOYEN DE LU ASSISTANT La page Droits d acc s est affich e Cette page permet a
6. Enregistrer Annuler Modifications sur ia page non enregistr es Activer le proxy HTTPS e Droits d acc s Propri t s L2TP IPsec Moyens d acc s R seau Activer L2TP IPSec S curit Algorithme de chiffrement 3DES Y Passerelles s rie Algorithme de hachage MD5 Y gt Alarmes Authentification par Cl pr partag e Y gt Syst me Diagnostics SSES d Maintenance Protocoles autoris s pour l authentification A propos PAP CHAP MS CHAP MS CHAP 2 e Propri t s OpenVPN Activer OpenVPN OpenVPN W Num ro de port 1194 Protocole UDP Y Authentification des utilisateurs Login Mot de passe M Algorithme de chiffrement BlowFish Y Algorithme de hachage MDS v Propri t s OpenVPN Acc s SmartPhone Activer OpenVPN OpenVPN pour Smartphones Propri t s PPTP Activer PPTP e Protocoles autoris s pour l authentification PAP CHAP MS CHAP MS CHAP V2 Remapping IP utiliser si le r seau t l maintenance et le LAN sont en conflit Translater les adresses IP du r seau LAN i Adresse r seau dans lequel translater le LAN Page 98 Manuel d utilisation 9022309 01 site Routeur RAS PARAMETRAGE EXPERT 4 3 Param trage d une connexion distante de type OpenVPN Une connexion distante OpenVPN tablie entre un PC distant et un r seau Ethernet garantt un niveau lev de s curit Authentification chiffrement int grit des donn es Le logiciel M2Me_Secure s installe sur le PC distant pour
7. Param tres Adresse IP amp Masque de sous r seau Saisir l adresse IP du routeur RAS sur le r seau Machine el le masque du r seau Machine Liste de choix le r seau Machine est il identique au r seau IP du PC distant Si la r ponse est Non aucune saisie compl mentaire n est n cessaire Param tres Adresse IP dans laquelle translater le LAN Si la r ponse la question pr c dente est Oui il faut translater le r seau Machine Saisir l adresse translat e attribu e au r seau Machine on choisit pour le r seau Machine une adresse la fois diff rente du r seau du PC distant et du r seau Usine e Cliquer Suivant La page Liste des quipements est affich e Cette page permet d enregistrer les quipements dont l acc s pourra ensuite tre autoris aux utilisateurs distants Si l acc s tous les quipements du r seau Machine doit tre autoris tous les utilisateurs il est inutile de d finir les quipements de la machine Si on souhaite filtrer l acc s distant aux quipements de la Machine cliquer le bouton Ajouter pour d finir successivement les quipements de la machine auxquels on souhaite donner un acc s distant Param tres Nom Saisir le nom de l quipement de la Machine automate de pompage par exemple Page 70 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE AU MOYEN DE LU ASSISTANT Param tres Adresse IP
8. apporter aux trames IP non transport es dans un VPN Elle d finit la politique par d faut et le tableau de r gles de filtrage Chaque ligne du tableau est une r gle de filtrage qui autorise ou interdit un type de trames IP La seconde partie est intitul e R gles pour le trafic VPN Elle a pour but de d finir le filtrage apporter aux trames IP transport es dans un VPN Elle a la m me forme que la premi re partie e Politique par d faut C est l action qui sera appliqu e une trame qui n est conforme aucune r gles du tableau On consid re s par ment les deux directions de trafic car on peut souhaiter que la d cision prise soit diff rente selon qu un paquet provient du LAN ou du WAN On peut souhaiter par exemple que la politique par d faut interdise le routage WAN vers LAN mais autorise le routage LAN vers WAN La politique par d faut prudente consiste interdire le trafic WAN vers LAN et ventuellement LAN vers WAN de cette fa on toute trame qui ne se conforme pas l une des r gles du filtre est bloqu e En effet supposons que la politique par d faut consiste autoriser le trafic WAN vers LAN alors tout flux IP qui ne serait conforme aucune des r gles du filtre principal serait rout e vers le LAN e Tableau de r gles de filtrage Chaque ligne est une r gle de filtrage Routeur RAS Manuel d utilisation 9022309 01 Page 135 PARAMETRAGE EXPERT Chaque r
9. Choisir la liaison s rie 1 ou 2 du routeur Bouton COM Permet de configurer les param tres d bit et format de la liaison s rie Page 140 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT Param tre Protocole Modbus S lectionner RTU hexad cimal ou ASCII selon le besoin Param tre Temps inter caract res Fixe le temps maximum admissible entre caract res des r ponses de l esclave modbus Param tre Timeout d inactivit sur TCP Fixe le temps au bout duquel la liaison TCP est rompue en cas d absence de requ tes modbus re ues du r seau IP Param tre Num ro du port TCP Fixe le N du port TCP utiliser Le N de port modbus par d faut est 502 Tableau de correspondance Le tableau de correspondance permet de faire correspondre une adresse d esclave modbus et une adresse IP 15 2 5 Passerelle modbus serveur La passerelle permet la connexion d esclaves modbus sur la Client TCP Modbus Client TCP Modbus liaison s rie 32 esclaves au maximum peuvent tre connect s au port RS485 jusqu 32 Un client TCP modbus adresse une requ te TCP modbus la passerelle La passerelle se comporte en ma tre sur la liaison s rie Elle r p te la requ te sur la liaison s rie l adresse de la requ te mise sur la liaison s rie est Routeur RAS Manuel d utilisation 9022309 01 Page 141 PARAMETRAGE EXPERT e soit l adresse contenue dan
10. O 1 A RS485polarit A ur de RS485 polarit B Page 36 Manuel d utilisation 9022309 01 Routeur RAS INSTALLATION RAS E 220 ou RAS EW 220 Connecteur RJ45 RS232 C11 C12 Raccordement d un quipement DCE Broche Signal Sens Fonction Brochage de l embase RJ45 DTR 108 Terminal de donn es pr t TD 108 s somo erede signalisation e mws soe IL e AS 108 Sonie Demande pour emere Sortie Signal fourni par le routeur Entr e Signal fourni par l quipement ext rieur RAS E 220 ou RAS EW 220 Connecteur RJ45 RS232 C11 C12 Raccordement d un quipement DCE broche Sei Sens f Fonction Brochage de Tembase RJA DSR 107 Poste de donn es pr t CTS 106 Pr t mettre Sortie Signal fourni par le routeur Entr e Signal fourni par l quipement ext rieur SKS RS EE Routeur RAS Manuel d utilisation 9022309 01 Page 37 INSTALLATION 1 4 Routeur RAS E 100 Bouton poussoir B1 Interface LAN Interface WAN __ Ethernet 2 Ethernet 1 T Poussoir Reset sur la face arri re Bornier 2 pts Alimentation 3 VOYANTS RAS E XYZ et RAS EW XYZ D signation Fonction Op ration Vert En fonction We Rouge D marrage Erreur de d marrage grave ou erreur chargement firmware Rouge clignotant lent Alarme mat rielle Rouge clignotant rapide Chargement du firmware en cours Ethernet M2Me Eteint Non connect au service M2Me_Connect WAN Clignotant lent 2 s Connexio
11. O M RAS E RAS EW RAS EC RAS ECW Bo tier de prise en main de machine distance NOTICE D UTILISATION Document r f rence 9022309 01 SOMMAIRE Le routeur objet de la pr sente notice est fabriqu par ETIC TELECOM 13 Chemin du vieux ch ne 38240 MEYLAN FRANCE TEL 33 4 76 04 20 05 FAX 33 4 76 04 20 01 E mail hotline etictelecom com web www etictelecom com Page 2 Manuel d utilisation 9022309 01 Routeur RAS SOMMAIRE EE 3 PRESENTATION 1255 5507 comes since ne ten s senc a ia mas mme ea aaa rae eaaa dia aapea aa i aaeei nadi ieai 9 1 DECLARATION DE CONFORMIT ciccescnnnnnanc tag enesegnenansnnanansencenensonacanus its 9 2 IDENTIFICATION DES PRODUITS 5 55 Eed eege eebe eege 10 3 FICHE TECHNIQUE eege ee ee EE rennes te 14 4 PRESENTATION gebaack 16 4 1 Fonctions principales du routeur RAS 16 4 2 Organisation du routeur RAS rrrennneneneereneennes 17 4 3 La connexion M2Me_Connect ENEE EEN 18 4 4 Avantages de la connexion M2Me_Connect 19 5 LES SCENARIOS D UTILISATION DU ROUTEUR RAS een 20 5 1 Sc nario 1 Le routeur RAS est plac entre le r seau Usine et la machine 22 5 2 Sc nario 2 La Machine appartient au r seau de Usine 24 5 3 Sc nario 3 Utilisation du r seau cellulaire 4G 3G GPRS EE 26 5 4 Sc nario 4 Utilisation du r seau WiFi
12. e Entr e digitale ouverte Case cocher Envoyer une alarme sur connexion d connexion Ce VPN g n re un v nement qui peut tre trait dans la page web alarmes sms email lorsque on choisit comme source d alerte connexion d connexion VPN Routeur RAS Manuel d utilisation 9022309 01 Page 119 PARAMETRAGE EXPERT 9 4 Configurer une connexion OpenVPN entrante Une connexion entrante est une connexion VPN tablie l initiative du routeur e Pour cr er une connexion entrante cliquer le bouton Ajouter plac sous le tableau des connexions entrantes 7 IPL A 400 site x Etic e C Telecom Industrial n x Etic Administration Er h tp 192 168 38 191 4433 cgi method get menu amp amp menu tr IPL A 400 c gt Accueil gt Configuration gt R seau gt Connexions VPN gt OpenVPN gt Connexion OpenVPN Y Configuration Interface WAN Interface LAN Ethernet et IP Serveur DHCP Liste des quipements Acc s distant Liste des utilisateurs Droits d acc s Moyens d acc s v R seau Y Connexions VPN OpenVPN IPSec P Routage Redondance VRRP Redirection de port NAT avanc DynDNS Qos DiffServ Y S curit Pare feu Nom Indiquez lidentfiant et le mot de passe avec lesquels le routeur distant devra s authentifier Identifiant Mot de passe Mots de passe identiques Adresse du r seau LAN distant Masque du r seau LAN distant Entrez ici le nom commun du certificat que le routeur dis
13. le r seau cellulaire associ la carte SIM N 1 et r seau 2 le r seau associ la carte SIM N 2 Le r seau 1 est le r seau test la mise sous tension du Routeur ETIC En cas de d faillance du r seau 1 confirm e durant le temps T1 le routeur ETIC bascule sur le r seau 2 Si le r seau 2 fonctionne correctement le Routeur ETIC y reste au minimum pendant le temps T3 l issue de ce temps le Routeur ETIC interrompt la communication sur le r seau 2 teste le r seau 1 et retourne sur le r seau 1 s il est nouveau disponible A tout moment si le r seau 2 ne fonctionne pas correctement et apr s confirmation pendant le temps T2 le Routeur ETIC retourne sur le r seau 1 Routeur RAS Manuel d utilisation 9022309 01 Page 81 PARAMETRAGE EXPERT Les temporisations T1 T2 et T3 peuvent tre r gl es Param tre T1 Temps avant basculement sur SIM2 Saisir le temps de confirmation d indisponibilit du r seau 1 au del duquel le Routeur ETIC bascule sur le r seau 2 Valeur 5 10 20 30 60 mn Param tre T2 Temps avant re basculement sur SIM1 Saisir temps de confirmation d indisponibilit du r seau 2 au del duquel le Routeur ETIC bascule sur le r seau 1 Valeur 2 5 10 20 mn Param tre T3 Temps de connexion sur SIM2 avant de re tester SIMT Saisir le temps minimum durant lequel le Routeur ETIC demeure sur le r seau 2 s il fonctionne correctement Valeur 1 12
14. Ajouter Copier et modifier A V EE S curit Pare feu Droits d administration Certificats X509 b Passerelles s rie Alarmes gt Syst me Diagnostics P Maintenance propos Note A la livraison pour des raisons de s curit aucun utilisateur n est enregistr Page 104 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 6 2 D finir des utilisateurs e Cliquer sur le bouton Ajouter la fiche utilisateur est affich e e OG EG b pS 192 168 38 191 4433 cgi method get menu amp amp menu true amp a ng f Tr robe IPL A 400 site Accueil gt Accueil gt Configuration gt Acc s distant gt Liste des utilisateurs gt Configuration Utilisateur Configuration Enregistrer Annuler Modifications sur ia page non enregistr es Interface WAN Interface LAN Actif Acc s distant Nom complet Jane Liste des utilisateurs S Droits d acc s Entreprise ETIC TELECOM Moyens d acc s Addresse E mail jane etictelecom com v R seau Num ro de t l phone 34014575897 xions VI gt Connexions VPN Nas nes SS Routage Redondance VRRP Mot de passe ms 11 renne Mots de passe identiques Redirection de port Force du mot de passe eme NAT avanc DynDNS Pour une s curit maximale choisissez un mot de passe de plus de 8 caract res contenant des lettres majuscules et Qos DiffServ minuscules des chiffres et des caract res sp ciaux En
15. Note A la livraison le filtre principal est r gl de la fa on suivante Le trafic v hicul dans les VPN est autoris sans restriction Le trafic v hicul hors des VPNs est limit Le trafic l initiative d un quipement du LAN vers le WAN est autoris Le trafic l initiative d un quipement du WAN vers le LAN est interdit Page 136 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 15 Configuration des passerelles s rie 15 1 Pr sentation des types de passerelles Certains mod les du routeur comportent 1 ou 2 liaisons s rie RS232 RS232 RS485 ou RS422 Une passerelle peut tre affect e chaque liaison s rie Une passerelle s rie permet d utiliser le r seau IP pour faire communiquer des quipements s rie entre eux ou bien avec des quipements IP e Communication entre quipements interface s rie e Communication avec une application sur PC Application pour port COM p S GC Logiciel d mulation de port s rie windows pr vue initialement pour dialoguer par la K Bei Be IP liaison s rie Le logiciel d mulation de port COM Be IP est une passerelle software qui permet d utiliser sur un r seau IP un logiciel d application con u initialement pour communiquer sur une liaison s rie RS232 RS485 e Communication avec application sur PC capable d empaqueter un protocole s rie dans UDP ou TCP TCP connection modbus TCP par exemple modbus TCP or RAW TCP o
16. PARAMETRAGE EXPERT 15 2 4 Passerelle modbus client La passerelle modbus client permet la connexion d un serveur d Modbus serveur Modbus ma tre modbus sur la liaison s rie Plusieurs serveurs TCP modbus peuvent tre adress s sur le r seau iP Ethernet Client TCP Modbus D autres esclaves peuvent tre connect s la liaison s rie Modbus esclave RS485 Modbus ma re Modbus esclaves jusqu 31 Principe de la passerelle modbus Client Pour adresser un serveur TCP modbus sur le r seau IP on configure une table de correspondance entre une modbus esclave et une IP ainsi lorsque le ma tre modbus transmet une requ te destination de l esclave d modbus A le tableau de correspondance permet de transmettre cette requ te l IP correspondant Ton A De plus le champ adresse modbus de la trame modbus TCP prend la valeur A Le tableau de correspondance peut comporter 32 lignes permettant ainsi un ma tre modbus d adresser 32 serveurs sur le r seau IP Requ te modbus Requ te modbus TCP vers l esclave vers le serveur d modbus A d IP IPO D Modbus RS232 485 Ethernet serveur Modbus ma re IP IPO Tableau de comespondance entre modbus et IP Configuration de la passerelle modbus Client e S lectionner le menu Passerelle IP RS puis cliquer le menu Modbus puis Modbus client e Cocher activer la passerelle Param tre S lection du port
17. Param tres Adresse WAN distant uniquement si le routeur est initiateur du VPN Saisir l adresse WAN du routeur distant Remarque Cette adresse est l adresse du routeur vers lequel le VPN doit tre tablie Elle ne doit tre saisie que si la connexion est de type initiateur Paragraphe IKE phase 1 IKE est le protocole d change de cl s Il se d roule en deux phases La phase 1 de IKE est la phase d tablissement d un canal de s curit La phase 2 est la phase de n gociation des param tres de cryptage des donn es chang es par les routeurs Ce paragraphe permet de choisir les param tres de la phase 1 Param tre Mode Les modes Main et Agressive sont propos s Le mode Agressive est un mode moins s curis Param tres Algorithme de cryptage Sauf difficult particuli re on s lectionnera le choix Auto AES offre une meilleure s curit par que 3DES Param tres Algorithme d authentification Sauf difficult particuli re on s lectionnera le choix Auto SHAT offre une meilleure s curit par que MD5 Param tres Groupe DH uniquement si la case param tres avanc s a t coch e Groupe utilis lors de l change de clefs Diffie Hellman DH Le DH est l tape 1 de la phase 1 et permet aux pairs de se mettre d accord sur un secret partag Le DH a besoin qu un groupe au sens structure alg brique soit d fini et ide
18. Route statique enregistrer dans le routeur R2 Active Nom de la route Vers R seau 6 Destination 192 168 6 0 Masque de r seau 255 255 255 0 Passerelle 192 168 5 1 Interface Distance Oui Vers R seau 1 192 168 1 0 255 255 255 0 192 168 2 1 Oui Vers R seau WAN distant 192 168 4 0 255 255 255 0 192 168 5 128 De la m me fa on il faut enregistrer des routes dans les routeurs R1 R3 et R4 Remarque Il n est pas n cessaire d enregistrer dans R2 une route vers le r seau WAN ni vers le r seau LAN distant en effet R2 les conna t puisque l adresse et le netmask du r seau WAN ainsi que l adresse du r seau LAN distant ont t d clar s au cours de la configuration Page 122 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT Pour programmer une route statique e s lectionner le menu Configuration puis Routage puis Route statique puis cliquer Ajouter une route Param tre Nom de la route Entrer un mn monique pour d signer la route Param tres Adresse IP de destination amp netmask Entrer l adresse IP du r seau de destination et le netmask de ce r seau Param tre Passerelle Saisir l adresse IP de la passerelle routeur permettant l acc s ce r seau Param tre interface Une route peut tre tablie en d signant une passerelle voir ci de
19. Saisir l adresse IP de l quipement e Cliquer Suivant e ETAPE 4 UTILISATEURS DISTANTS La page Liste des utilisateurs distants est affich e Cette page permet d enregistrer la liste des utilisateurs distants autoris s Remarque Par d faut le nom et le mot de passe de chaque utilisateur est v rifi mais pas le certificat du PC distant Cliquer sur le bouton Ajouter pour ajouter un utilisateur la liste Les champs sur fond rouge doivent imp rativement tre saisis Case cocher Actif Elle permet de retirer temporairement un utilisateur de la liste Param tre Nom complet C est le libell qui appara t dans le premier champ de la liste des utilisateurs autoris s Il permet en particulier de garder la trace de chaque connexion de l utilisateur dans le journal Param tres Email et N de t l phone L adresse mail permet l mission d un email d alarme Le N de t l phone permet l envoi d un SMS routeur cellulaire seulement Param tres Nom d utilisateur et mot de passe Ces deux codes identifient et authentifient l utilisateur distant e Cliquer e Suivant La page Droits d acc s est affich e Cette page permet affecter des droits chaque utilisateur distant Chaque ligne du tableau d finit un utilisateur et l quipement auquel il peut acc der adr IP et service Pour ajouter un nouveau droit un utilisateur c
20. le m me N de port TCP Param tre Adresse IP du serveur Raw TCP Fixe l adresse IP laquelle sont transmis les caract res re us de la RS232 RS485 c est l adresse du serveur RAW Page 144 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 15 3 2 Passerelle RAW serveur Elle permet de raccorder des quipements esclaves sur la liaison RS232 RS485 L quipement de la liaison s rie peut ainsi communiquer avec un PC Client RAW TCP La passerelle RAW serveur peut en particulier tre utilis e avec profit en association avec le logiciel Be IP d etic dans le cas o il faut faire communiquer par un r seau IP RS232 RS485 Response Request Be IP software P t or RAW TCP client RAW TCP client RAW TCP server RAW TCP server Response f Request Response QRequest RS232 RS485 RS232 RS485 Configuration de la passerelle RAW serveur e Cliquer le menu passerelle puis Transparent Puis raw serveur e Cocher activer la passerelle puis r gler les param tres Param tre Taille du buffer de r ception RS232 485 valeur 1 1024 Fixe la taille maximum en octets d un bloc transmis vers le r seau IP Param tre Timeout fin de trame RS232 485 valeur 10 500 ms Fixe d lai de silence maximum apr s lequel le buffer de caract res re us de la liaison RS232 RS485 est transmis vers le r seau IP Param tre Timeout d inactivit sur socket
21. permet de d tecter un homologue mort et en cas de d tection de supprimer les associations de s curit IKE et IPSec de cet homologue P riodicit des messages DPD keepabue 30s e D lai de d tection de perte de connexion 2 minutes v Lier le VPN au WAN WAN ADSL D marrer sur venement 1 D marrer seulement lorsque WAN ADSL connect v Enregistrer Annuler Retour Routeur RAS Manuel d utilisation 9022309 01 Page 109 PARAMETRAGE EXPERT L cran d une nouvelle connexion VPN IPSec s affiche e S lectionner la case cocher Activer et ventuellement Param tres avanc s e Attribuer un nom la connexion Les diff rentes adresses IP auxquelles il est fait r f rence sont d crites ci dessous Routeur en cours de param trage Routeur distant Adr Ip Adr Ip WAN distant LAN distant 255 255 255 0 Param tre Authentification Deux choix sont possibles Certificat num rique X509 ou Cl partag e Param tre Connexion S lectionner la valeur Initiateur si la connexion est tablie l initiative du routeur en cours de param trage S lectionner la valeur R pondeur si la connexion est tablie l initiative du routeur distant vers le routeur en cours de param trage Paragraphe authentification Cas du choix Certificat num rique Param tre Mon SubjectAlt name Entrez la valeur du champ SubjectAltNa
22. s aux machines en fonction de qui se connecte Par d faut rien n est filtr Param tre Certificat Ce param tre n appara t que si l on a choisi un VPN L2TP IPSec ou TLS SSL avec authentification par Certificat num rique Il d crit les champs du certificat qui doivent tre contr l s par le Routeur ETIC Certificate Page 94 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT Data Version 3 0x2 Serial Number 191 Oxbf Signature Algorithm sha1WithRSAEncryption Issuer C FR ST Isere L Meylan O ETIC Telecommunications OU Security CN ETIC_ Telecom CA emailAddress Security etictelecom com Validity Not Before Nov 22 14 46 58 2007 GMT Not After Nov 14 14 46 58 2037 GMT Subject C FR ST Isere L Meylan O ETIC Telecommunications OU Security CN b4b4d3c9 b200 4869 8637 edb3d421d55a emailAddress b4b4d3c9 b200 4869 8637 edb3d421d55a etictelecom com Subject Public Key Info Routeur RAS Manuel d utilisation 9022309 01 Page 95 PARAMETRAGE EXPERT 4 Connexion distante Pour offrir un service d acc s disant il faut successivement effectuer les tapes suivantes e Etape 1 Configurer la communication distante PPTP ou OpenVPn ou L2TP d crite dans le pr sent paragraphe ou bien encore une connexion HTTPS d crite au paragraphe suivant e Etape 2 Enregistrer les utilisateurs autoris s dans la liste d utilisateurs voir paragraphe suivant e Etape 3 D finir les droits d ac
23. seau d quipements qui constituent la machine et d autre part l Internet Le routeur poss de donc 2 interfaces IP L une pour l internet est nomm e interface WAN et l autre pour la machine est nomm e interface LAN Interface WAN du routeur Selon les mod les le routeur dispose des interfaces suivantes pour acc der l Internet Interfaces WAN des routeurs de la famille RAS RAS E RAS EW RAS EC RAS ECW Ethernet bh bh k b WiFi d d Cellulaire Ces interfaces vers l Internet sont nomm es interface WAN dans la suite du texte Le r seau raccord l interface WAN est appel r seau WAN Interface LAN du routeur Selon les mod les le routeur dispose de 1 4 prises Ethernet switch es pour le raccordement de la machine L interface de raccordement de la machine est appel e interface LAN dans la suite du texte Les quipements de l interface LAN constituent le r seau LAN L interface LAN peut comporter en option une interface s rie RS232 et une interface RS485 et le WiFi Firewall Les op rations de filtrage du firewall sont r alis es entre l interface WAN et l interface LAN Le firewall filtre les changes entre les quipements connect s l interface WAN un r seau d usine par exemple et le r seau machine Le firewall filtre aussi l acc s des utilisateurs distants au r seau LAN en fonction de leur identit Serveur d acc s distant Les utilisateurs distants sont
24. 24 heures 5 jours jamais Remarque Il est conseill de donner T3 une valeur longue 12 heures par exemple en effet si le r seau 2 fonctionne correctement il n est pas n cessaire de retourner imm diatement sur le r seau 1 Page 82 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 1 3 3 Configuration du contr le de la connexion cellulaire Le Routeur ETIC contr le la connexion au r seau cellulaire en testant le fonctionnement de la connexion PPP au serveur de l op rateur du r seau cellulaire Cette technique est la technique normale de v rification du fonctionnement de la liaison Cependant il a t constat que sur certains r seaux ou certains moments la connexion PPP pouvait tre d clar e active alors que le service de transmission de donn es n tait pas rendu par l op rateur de r seau cellulaire C est la raison pour laquelle le routeur ETIC peut v rifier le fonctionnement du service en transmettant un message ICMP PING vers un serveur distant Si le message n obtient pas de r ponse et apr s r it ration le Routeur ETIC initialise son module de transmission de donn es 4G 3G Cette fonction ne doit tre activ e que si un dysfonctionnement est constat Param tre Adresse IP du serveur Saisir l adresse IP du serveur vers lequel le message ICMP PING doit tre transmis Param tre Intervalle des PING Saisir la p riode de transmission des PING P
25. Champ D bit montant maximal et D bit descendant maximal D bit maximal possible 2 2 Etat des passerelles s rie e S lectionner le menu Diagnostic gt Etat des passerelles Cette page permet d afficher l tat courant du param trage des passerelles le nombre d octets et de trames chang es et le nombre de trames en erreur Le menu Visualisation des donn es s rie permet de visualiser le trafic RX et TX sur la liaison s rie 2 3 Outils Ping Cette page permet de commander l mission d une trame ping vers une machine du r seau raccord au routeur 2 4 Outil Scanner WiFi Le scanner WiFi affiche la liste des r seaux WiFi d tect s par le routeur Pour chacun de r seaux d tect s le scanner affiche les informations suivantes Identificateur du r seau SSID L adresse MAC du point d acc s N du canal Niveau de r ception Le scanner est utile afin de choisir un N de canal non utilis lorsque l on souhaite configurer le canal en point d acc s R ciproquement il facilite la configuration de l interface WiFi du routeur lorsque l interface WiFi doit tre utilis e en client Remarque le scanner Wifi ne peut fonctionner que si l interface WiFi est d clar e comme client WiFi et pas comme point d acc s WiFi Pour d clarer l interface WiFi comme client WiFi afin d utiliser le Scanner e Dans le menu Configuration gt WAN s lectionner WiFi dans la liste e Dans l
26. Eiltr e EE 135 142 1 Pr sentation iii 135 CONFIGURATION DES PASSERELLES SERIE iii RENE 137 15 1 Pr sentation des types de passerelles 137 15 2 Passerelle KMieogdbug z see dest en nana in anni Rite 139 Eer a WE dee TE 139 15 2 2 Choix de la passerelle Client ou de la passerelle Gerveur 139 15 2 3 Affectation d une passerelle modbus un port s rie nsnsnsnsnnsnneinenneresrerenne 139 15 24 Passerell modbus client 2 2244rasiten man ft initie es 140 15 2 5 Passerelle modbus serveur 141 15 3 Passerelle TCP RAW 3 25 cn denis nina Nee Eege ENEE 144 15 3 1 Passerelle TCP RAW client o nonnennennennennennnanennnnnrnrrernnrrnrrnrrerrnrrnrrnrrnrrerrnrnne 144 15 3 2 Passerelle RAW serveur Seu EE Ee 145 15 4 Passerelle RAW HD T eiert Gage nnne rene dant nnman nenene nenne 146 E DE Ge Ee e DEE 146 15 4 2 Configuration EE 146 15 5 Passerelle Unitelway 148 PASSERELLE USB dd ee dE gek ins de EE Ee A HEEN d e EE 149 16 1 le 149 16 2 E e rt E EEN 149 AARMEN 150 17 1 Transmettre un email ou un SMS nr 150 17 2 Alarmes SNMP nnnnen re nrccnennnenennensenrecnennennennensesreeneeneenenne 151 FONCTIONS AVANCEES urnes geed ENEE ege Ee ege ENEE eren 152 18 1 Ajouter un certificat 152 Routeur RAS Manuel d utilisation 9022309 01 Page 7 SOMMAIRE MAINTENANCE SSSR ne dr ne Se en de 153 DIAGNO
27. Fonction Op ration Vert En fonction Ch Rouge D marrage Erreur de d marrage grave ou erreur chargement firmware Rouge clignotant lent Alarme mat rielle Rouge clignotant rapide Chargement du firmware en cours Ethernet M2Me Eteint Non connect au service M2Me_Connect WAN Clignotant lent 2 s Connexion en cours lere tape Vert Connect l ger clignotement en pr sence de data Ethernet Voyant inf rieur Eteint Interface d sactiv WAN Vert Interface actif l ger clignotement en pr sence de data Connexion WiFi WiFi Eteint Pas de signal mesur ou WiFi configur en point d acc s 1 impulsion Insuffisant ou faible 2 impulsions Suffisant 3 impulsions Bon ou tr s bon signal ualit du e S nal il WiFi Eteint Interface d sactiv ph Vert Interface actif l ger clignotement en pr sence de data Ethernet LAN Voyant inf rieur D 1 4 Eteint Interface d sactiv ER Vert Interface actif l ger clignotement en pr sence de data RAS E 220 RAS EW 220 RS485 Rx Caract res re us de la liaison V24 RS232 vers le router ETIC Tx Caract res transmis vers la liaison V24 RS232 depuis le router ETIC Page 40 Manuel d utilisation 9022309 01 Routeur RAS INSTALLATION 1 6 Routeur cellulaire RAS EC ou RAS ECW option WiFi RAS EC 400 RAS ECW 400 Cellulaire Ethernet USB Bouton poussoir B1 Interface LAN Ethemet 1 4 Poussoir Reset H sur la face arri re Bornier 4 pts 1E TOR 1 S TOR Dou
28. La configuration programm e n est pas modifi e Remarque Le logiciel ETICFinder permet de d tecter tous les produits fabriqu s par ETIC TELECOM et connect s un r seau Ethernet le logiciel affiche l adresse IP attribu e chacun d entre eux 9 Retour la configuration Usine Il peut tre n cessaire de restaurer la configuration Usine par exemple si l acc s au serveur d administration n est plus possible la suite d une erreur dans la programmation du firewall ou bien pour d autres raisons Il est possible de restituer la configuration Usine au moyen du bouton poussoir de la face arri re ou bien en utilisant le serveur d administration Pour restituer la configuration Usine au moyen du bouton poussoir de la face arri re du routeur e Mettre le routeur RAS hors tension e Retirer le routeur de son rail DIN e Appuyer sur le poussoir de la face arri re avec une pointe de tournevis par exemple e Mettre sous en tension tout en maintenant le poussoir enfonc 10 secondes Le voyant Service passe au rouge le routeur s initialise et la configuration Usine est restitu e Pour restituer la configuration Usine au moyen du serveur d administration e S lectionner le menu Maintenance puis le menu e Gestion des configurations e S lectionner la configuration e Factorydefault puis cliquer le bouton charger Le voyant Operations passe au rouge le routeur s initialise et la configur
29. Pour ajouter un nouveau droit un utilisateur cliquer le bouton Ajouter s lectionner un utilsateur dans la liste et l quipement auquel on lui donne acc s Pour donner l utilisateur l acc s tous les quipements du r seau Machine s lectionner la valeur Tous les quipements e Cliquer Suivant et appliquer la configuration Routeur RAS Manuel d utilisation 9022309 01 Page 59 PARAMETRAGE AU MOYEN DE LU ASSISTANT 2 Configuration du routeur RAS selon le sc nario 2 La machine appartient au r seau d usine le routeur RAS est raccord ce r seau usine par son interface LAN uniquement Attention Dans cette situation tous les quipements connect s au r seau local sont accessibles distance Il faut d finir les quipements de la machine afin de limiter l acc s des utilisateurs distants ces seuls quipements Sc nario Mod le Acc s l Internet Raccordement Sch ma du routeur RAS vers l Internet 2 Tous mod les R seau Usine Ethernet LAN de routeur Port 1 4 selon RAS le mod le INTERNET ETAPE 1 CHOIX DU SCENARIO e Cliquer le bandeau assistant de configuration et s lectionner le sc nario 2 ETAPE 2 CONNEXION M2Me La page Adresse IP de l interface Ethernet Machine LAN est affich e Remarque L adresse IP du r seau Machine doit galement tre diff rente de l adresse du r seau du PC distant Si ce n est pas
30. accueillis sur l interface WAN leur acc s au r seau LAN est filtr gr ce au firewall en fonction de leur identit Routeur RAS Manuel d utilisation 9022309 01 Page 17 PRESENTATION 4 3 La connexion M2Me_Connect Connecter un PC distant une machine en toute situation Le service M2Me_Connect permet de r soudre les cas o la machine est situ e sur un r seau priv comme le r seau d une usine par exemple et qu en cons quence la machine n est pas accessible Prenons par exemple le cas d une machine constitu e d un ensemble d quipements en r seau et connect e un r seau d usine au travers d un routeur RAS E Supposons qu un expert souhaite prendre la main distance sur cette machine pour effectuer un diagnostic de panne relever des informations techniques visualiser des pages web ou bien actualiser un fichier de param tres ou un programme Le service M2Me_Connect permet de r soudre la difficult Gr ce M2Me_Connect le PC se connecte la machine pour une op ration de maintenance par exemple m me si ni le PC distant ni la machine ne poss dent d adresse publique Fonctionnement A sa mise sous tension ou sur commande au moyen de l entr e TOR le routeur RAS tablit une connexion s curis e vers le service M2Me_Connect Il s authentifie sur le service au moyen de son certificat Si le routeur RAS poss de deux interfaces possibles vers Internet cellulaire et Ethernet par exemple il tablit l
31. algorithmes de cryptage et de hachage propos s sont tous d un haut niveau de s curit par exemple l ancien algorithme DES n est pas propos Toutefois AES offre une meilleure s curit par rapport 3DES de m me que SHA 1 par rapport MD5 Param tre Priorit du serveur Saisir une valeur interm diaire 100 par exemple Routeur RAS Manuel d utilisation 9022309 01 Page 115 PARAMETRAGE EXPERT Param tre Pousse la route locale aux clients VPN Laisser cette case coch e Dans ce cas le serveur indique tous les clients VPN qu il faut passer par le VPN pour atteindre le r seau LAN du serveur Param tre Pousse les routes statiques aux clients VPN Dans ce cas le serveur indique tous les clients VPN qu il faut passer par le VPN pour atteindre les r seaux accessibles par les routes statiques du serveur VPN Param tre Pousse les routes aux clients VPN Cette fonction est utile pour permettre un quipement raccord un client VPN d changer des donn es avec un autre quipement raccord un client VPN client to client Le serveur VPN a connaissance de la route qui m ne chaque r seau raccord chaque routeur client VPN e Si cette case n est pas s lectionn e un quipement raccord un routeur client VPN peut changer des trames IP avec un quipement raccord au serveur VPN Mais il ne peut pas changer des trames IP avec un quipement raccord u
32. amp lang fr Q Ant gt Accueil gt Configuration gt R seau gt Connexions VPN gt OpenVPN gt Connexions OpenVPN sortantes V Configuration Interface WAN Interface LAN Actif M b Acc s distant v R seau e Connexions VPN Nom Enregistrer Annuler Modifications sur la page non enregistr es Indiquez identifiant et le mot de passe qui seront utilis s pour s authentifier aupr s du routeur distant OpenVPN IPSec P Routage Redondance VRRP Redirection de port Identifiant Mot de passe Adresse IP du serveur VPN Adresse IP du serveur VPN de backup NAT avance Indiquez le por ainsi que le protocole utilis s pour les connexions entrantes et les connexions sortantes DynDNS Attention ces param tres doivent tre diff rents de ceux utilis s pour l acc s distant utilisateur Qos DiffServ Num ro de port 1195 gt S curit Protocole UDP v EES Chiffrement BlowFish Y armes P Systime Authentification gt Dsanostes Lier le VPN une interface sp cifique 4 P Maintenance D marrer sur venement A propos Envoyer une alarme sur connexion d connexion Enregistrer Annuler Retour e S lectionner la case cocher Actif et attribuer un nom la connexion Param tres Identifiant et mot de passe Saisir l identifiant et le mot de passe qui seront utilis s par le routeur pour s authentifier aupr s du serveur VPN en compl ment du certificat Remarque Cet identifiant et ce mot de p
33. amp menu true amp amp lang fr Q IPL A 400 site Keep gt Accueil gt Configuration gt Acc s distant gt Droits d acc s Configuration Interface WAN PEPEN ALET PEEN d tnt v interface LAN utorisations d acc s des utilisateurs distants Ethernet et IP Nom d utilisateur sl Machine Serveur DHCP e Jane HMI Liste des quipements v Acc s distant Liste des utilisateurs Droits d acc s Afficher Modifier Supprimer Ajouter Copier et modifier Lslts Moyens d acc s R seau S curit Passerelles s rie Alarmes p Syst me Diagnostics Maintenance propos x Tous les quipements renaud Automate filtrage e Cliquer le bouton Ajouter puis s lectionner un utilisateur dans la liste puis luis attribuer un quipement dans la liste pour autoriser l acc s cet quipement Page 106 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 8 Interconnexion de routeurs au moyen de VPNs IPSec 8 1 Pr sentation Chaque connexion IPSec est un tunnel tabli entre deux routeurs Ce tunnel VPN permet de connecter deux r seaux de fa on s re et transparente Lorsque le tunnel est tabli entre 2 routeurs chaque quipement du premier r seau peut changer des trames IP avec chaque quipement du second 25 connexions VPN IPSec peuvent tre cr es Le fonctionnement de chaque connexion IPSec est r gl individuellement ce qui permet une grande souplesse d utilisatio
34. antenne era nt ENEE Ee EAR 47 10 4 Choix de l abonnement au r seau cellulaire 47 10 5 Installation ou extraction de la carte SIM ou des 2 cartes SIM 47 10 6 Contr le de la conformit de la connexion 48 PREPARER LE PARAMETRAGE nee en eee eee enenenenenenenenene 49 1 PREMIERE CONFEIGURBATION nnnnnnnnrnrnrnrnrnnnnnnnnnnnnnenenenenenenenenenennnnnee 49 2 PROTEGER L ACCES AU SERVEUR D ADMINISTRATION sasaaaaaaananaaanaaon000000e0e0n0n0n0nne 50 3 CHOIX DE L OUTIL DE CONFIGURATION rires 50 4 MODIFICATION DE LA CONFIGURATION nn nnnnnnnenenenennnnnnnnenenenenenee 50 5 ACCES AU SERVEUR D ADMINISTRATION PAR L INTERFACE WAN 50 6 OPERATION AVEC HTTPS dense EE enesenenenenennne 51 7 CONFIGURATION EN ed alone t de idee duntui int eue 51 8 RESTITUER L IP USINE ET L ACCES LIBRE A L ADMINISTRATION asaaaaaaananaanaoanananannnnno 52 9 RETOUR A LA CONFIGURATION USINE nnnnnenenenenenennnnnnnnnenennnnne 52 LK SYNTAKE LEA nn ee ee NS eo ee ae 53 PARAMETRAGE AU MOYEN DE LU ASSISTANT ee EE EE EE EE EE EEN 55 1 CONFIGURATION DU ROUTEUR RAS SELON LE SCENARIO 1 56 2 CONFIGURATION DU ROUTEUR RAS SELON LE SCENARIO 2 60 3 CONFIGURATION DU ROUTEUR RAS SELON LE SCENARIO 3 63 4 CONFIGURATION DU ROUTEUR RAS SELON LE SCENARIO 4
35. celle des automates esclaves ventuellement raccord s l interface RS485 Page 148 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 16 Passerelle USB Attention L interface USB ne peut pas tre utilis la fois pour la connexion d un modem 3G USB fonction de secours et pour la fonction de passerelle USB 16 1 Principe Elle permet un ou plusieurs quipements du r seau Ethernet d changer des donn es avec un quipement interface USB connect au routeur ETIC Sur l interface USB le routeur ETIC se comporte en client PPP L quipement connect au routeur ETIC par l interface USB se comporte en serveur PPP Ethernet 10 100 bT USB device USB host PPP client PPP server Adresse IP de destination Cas principal Un quipement connect au r seau Ethernet et qui veut transmettre des donn es l quipement connect l interface USB doit adresser les donn es l adresse IP sp cifique attribu e la passerelle USB voir configuration Adresse IP de destination cas du protocole MODBUS Si aucune adresse sp cifique n est attribu e la passerelle USB la passerelle transf re uniquement vers l interface USB le trafic Modbus TCP dans le port 502 adress l adresse IP de l interface LAN du routeur 16 2 Configuration e S lectionner le menu Configuration puis Passerelle USB Case cocher Activer Cocher cette case Case cocher Utili
36. constituer une interface de connexion simple et puissante Il est aussi possible de param trer dans le PC une connexion de type client OpenVPN Configuration du routeur ETIC e S lectionner la case cocher OpenVPN Param tres Num ro de port et protocoles Choisir le protocole de transport du VPN UDP ou TCP UDP est pr f rable TCP Le N de port peut tre quelconque mais la valeur doit tre choisie parmi celles qui sont autoris s sur le r seau du client Attention Le num ro de port utilis pour l interconnexion de routeurs par VPN doit tre diff rent du N de port utilis pour les connexions d utilisateurs distants TLS Param tres Authentification des utilisateurs Si l on choisit la valeur Login mot de passe l authentification est r alis e l aide de ces deux codes uniquement Si l on choisit la valeur Login mot de passe et certificat num rique la s curit est renforc e Le PC distant est authentifi au moyen du certificat enregistr dans le PC et l utilisateur est identifi au moyen du login et du mot de passe Note dans ce cas le nom du certificat du PC de l utilisateur devra tre enregistr dans le routeur ETIC dans la fiche de l utilisateur Param tres Algorithme de chiffrement et Algorithme de hachage Laisser les valeurs par d faut Blowfish et MD5 Configuration du logiciel M2Me_Secure du PC e Cliquer l ic ne
37. dBm Exemple Niveau de r ception affich sur le smartphone 80 dBm Longueur du c ble d antenne 10m Perte dans le c ble d antenne 10X0 4 4 dB Niveau de r ception effectif par le routeur 84 dBm On peut aussi utiliser du c ble coaxial de diam tre 10 mm environ pour diminuer la perte dans le c ble 0 2dB m au lieu de 0 4dB m Nous fournissons les rallonges notre catalogue 10 4 Choix de l abonnement au r seau cellulaire Un abonnement autorisant la transmission de donn es 4G 3G ou GPRS EDGE doit tre souscrit On pourra choisir par exemple un abonnement fait pour les tablettes ou pour les sticks USB Il est inutile de souscrire un abonnement autorisant la t l phonie On choisira un abonnement qui autorise un volume mensuel suffisant au regard de l application envisag e On v rifiera le co t du MO suppl mentaire transmis au del du volume mensuel forfaitaire On souscrira de pr f rence l abonnement dans le pays o le routeur doit tre install afin d viter les sur co ts de l itin rance ou roaming Par exemple si le routeur doit tre install en Su de on souscrira l abonnement aupr s d un op rateur en Su de 10 5 Installation ou extraction de la carte SIM ou des 2 cartes SIM Installation de la carte SIM Placer le routeur hors tension Face A SE 2 sup rieure D gager la trappe situ e sur la face sup rieure Carte SIM N 1 gt arte Ins rer la carte SIM dans l un d
38. deux routeurs du tunnel IPSec v rifie si l adresse IP source n a pas t modifi e au cours du cheminement dans le r seau Pour cette raison IPSec n cessite un param trage particulier lorsque le routeur initiateur ou r pondeur est install de telle sorte que les trames IP franchissent des n uds routeurs interm diaires dans le trajet qui modifient l adresse IP source C est ce que font par exemple les routeurs de l op rateur t l com l interface entre le r seau cellulaire et l Internet Pour pallier cette difficult deux solutions sont possibles Solution 1 Utiliser des certificats et pas une cl partag e Solution 2 Si l on utilise une cl partag e il faut attribuer un code d identit chaque routeur IKE ID Ce code identifie chaque routeur IPSec aupr s de l autre routeur Il faut donc saisir dans chaque routeur le param tre IKE ID du routeur param tre IKE ID local et le param tre IKE ID du routeur distant param tre IKE ID distant 8 2 Param trage d une connexion VPN IPSec e S lectionner le menu Configuration puis e R seau puis a Connexions VPN L cran des connexions VPN s affiche Le C amp b p 192 168 38 191 4433 cgi method get menu amp amp menu true amp amp lang f IPL A 400 site Accueil gt Accueil gt Configuration gt R seau gt Connexions VPN gt IPSec Y Configuration nterface WAN Interface LAN b Acc s distant Actif
39. e Cliquer Suivant e ETAPE 4 UTILISATEURS DISTANTS La page Liste des utilisateurs distants est affich e Cette page permet d enregistrer la liste des utilisateurs distants autoris s Remarque Par d faut le nom et le mot de passe de chaque utilisateur est v rifi mais pas le certificat du PC distant Cliquer sur le bouton Ajouter pour ajouter un utilisateur la liste Les champs sur fond rouge doivent imp rativement tre saisis Case cocher Actif Elle permet de retirer temporairement un utilisateur de la liste Param tre Nom complet C est le libell qui appara t dans le premier champ de la liste des utilisateurs autoris s Il permet en particulier de garder la trace de chaque connexion de l utilisateur dans le journal Param tres Email et N de t l phone L adresse mail permet l mission d un email d alarme Le N de t l phone permet l envoi d un SMS routeur cellulaire seulement Param tres Nom d utilisateur et mot de passe Ces deux codes identifient et authentifient l utilisateur distant e Cliquer Suivant Page 58 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE AU MOYEN DE LU ASSISTANT La page Droits d acc s est affich e Cette page permet affecter des droits chaque utilisateur distant Chaque ligne du tableau d finit un utilisateur et l quipement auquel il peut acc der adr IP et service
40. eE par le rescou Wi Fi avec secours celiuiare sti Manuel d utilisation 9022309 01 Page 55 PARAMETRAGE AU MOYEN DE LU ASSISTANT 1 Configuration du routeur RAS selon le sc nario 1 Le routeur RAS est connect un r seau d usine ou d entreprise par son interface Ethernet WAN Sc nario Mod le Acc s l Internet Interface Sch ma vers l Internet 1 Tous mod les R seau Usine Ethernet WAN de routeur RAS y INTERNET R ETAPE 1 CHOIX DU SCENARIO e s lectionner le sc nario 1 ETAPE 2 CONNEXION M2Me La page Interface Ethernet WAN est affich e Case cocher Obtenir une adresse IP automatiquement Laisser cette case s lectionn e si l adresse IP du routeur RAS sur le r seau WAN est attribu e automatiquement Autrement d cocher cette case et saisir l adresse IP attribu e au routeur RAS sur le r seau WAN et le masque de ce r seau l adresse IP de la passerelle par d faut sur ce r seau Case cocher Obtenir les adresses des serveurs DNS automatiquement Laisser cette case s lectionn e si l adresse des serveurs DNS est attribu e automatiquement Autrement d cocher cette case et saisir l adresse IP des serveurs DNS primaires et secondaires e Cliquer Suivant La page Serveur proxy est affich e Un serveur proxy filtre les connexions sortantes Case cocher Acc s direct l Internet pas de proxy Laisser cet
41. est le m me que le r seau du PC distant l option Remapping doit tre s lectionn e et le r seau machine virtuellement renomm dans un domaine au choix 192 168 147 0 24 par exemple Fonctions possibles T l maintenance M2Me ke Droits d acc s individualis s des utilisateurs distants k Etablissement d un VPN suppl mentaire vers un serveur VPN sur bd Internet pour des fonctions de supervision par exemple Envoi d un SMS ou email sur fermeture ou ouverture de l entr e TOR bd Page 26 Manuel d utilisation 9022309 01 Routeur RAS PRESENTATION S curit A distance l utilisateur ne peut acc der ou aux quipements explicitement enregistr s dans le firewall au moment de la configuration Le r seau cellulaire ne fournit pas toujours la m me qualit de disponibilit qu un r seau filaire ADSL ou autre il est recommand de s assurer que les op rations envisag es sont compatibles de ce niveau de qualit Routeur RAS Manuel d utilisation 9022309 01 Page 27 PRESENTATION 5 4 Sc nario 4 Utilisation du r seau WiFi Description L acc s Internet s effectue au travers d un r seau WiFi disponible sur le lieu o est install e la machine Lorsque l interface WiFi du routeur RAS est utilis e pour acc der l internet elle ne peut plus tre utilis e comme point d acc s pour une tablette par exemple INTERNET Machine R Factory R gle de c blage Mod les concern s
42. est rompue en cas d absence de requ tes modbus re ues du r seau IP Param tre Num ro du port TCP Fixe le N du port TCP utiliser le port par d faut est 502 Routeur RAS Manuel d utilisation 9022309 01 Page 143 PARAMETRAGE EXPERT 15 3 Passerelle TCP RAW 15 3 1 Passerelle TCP RAW client Elle permet de raccorder un quipement se comportant en ma tre sur la liaison RS232 RS485 RS232 RS485 RAW TCP eener lt Request Tr Response RAW TCP client RAW TOP client Request A d Sam BEEN Request We RS232 RS485 Configuration e Cliquer le menu passerelle puis Transparent Puis raw client e Cocher activer la passerelle Param tre Taille du buffer de r ception RS232 485 valeur 1 1024 Fixe la taille maximum en octets d un bloc transmis vers le r seau IP Param tre Timeout fin de trame RS232 485 valeur 10 500 ms Fixe d lai de silence maximum apr s lequel le buffer de caract res re us de la liaison RS232 RS485 est transmis vers le r seau IP Param tre Timeout d inactivit sur socket TCP valeur 0 5 mn Fixe le temps au bout duquel la liaison TCP est rompue en cas d absence de caract res re us du r seau IP ou de la liaison s rie Param tre Num ro du port TCP Fixe le N du port TCP utiliser Attention Si 2 passerelles du m me type sont actives sur les deux ports s rie elles ne peuvent pas utiliser
43. gle d finit une action autoriser ou interdire associ e un flux IP d fini par les diff rents champs de la ligne de r gle Direction LAN vers WAN ou WAN vers LAN protocole TCP UDP IP et port source IP et port destination Voici un exemple de filtre qui autorise deux quipements du r seau WAN 192 168 2 X acc der un quipement particulier du r seau LAN Tout autre flux du WAN vers le LAN est interdit Politique par d faut LAN gt WAN Autoriser WAN gt LAN interdire Direction Action Protocole IP source port source IP destination port dest WAN gt LAN Autoriser any 192 168 2 1 any 192 168 1 12 any WAN gt LAN Autoriser TCP 192 168 2 2 any 192 168 1 12 502 e Fonctionnement Lorsque le firewall re oit une trame IP v hicul e dans le VPN il applique la politique et les r gles du filtre Trafic VPN Lorsque le firewall re oit une trame IP v hicul e hors du VPN il applique la politique et les r gles du filtre Trafic WAN Il v rifie successivement la conformit aux r gles de filtrage Si la trame n est pas conforme la premi re r gle elle est soumise la suivante et ainsi de suite D s qu elle est conforme une r gle du tableau le firewall lui applique l action associ e autoriser ou interdire Si la trame n est conforme aucune r gle la politique par d faut lui est appliqu e autoriser ou interdire
44. gt Routage IKE authentification Redondance VRRP Attention la cl pr partag e est globale pour le produit Elle est donc identique celle des connexions utilisateurs utilisant L2TP IPSec Vous Redirection de port pouvez laisser ce champ vide et d finir des cl s diff rentes pour chaque connexion Dans ce cas les cl s sont d finies dans la page de NAT avanc configuration des connexions distantes Valeur cl CCTCTEEES CEDELEEES Mots de passe identiques DynDNS Fee ir Qos DiffServ IKE ID local azertyuiop b S curit IKE ID distant azertyuiop b Passerelles s rie 3 b Alarmes R seau H Syst me Saisir les informations concemant le r seau distant Diagnostics Adresse du r seau LAN distant 192 168 2 0 gt rune Masque du r seau LAN distant 255 255 255 0 Adresse IP WAN distante 79 94 12 163 IKE Phase Mode Main mode sl Algorithme de cryptage AES256 v Algorithme d authentification SHA1 v Groupe DH Groupe 2 v Lifetime 8heures v IKE Phase 2 Indiquez le protocole utilis pour les connexion IPSec ESP est conseill avec le protocole AH il n y a pas de chiffrement mais seulement de fauthentification Protocole ESP v Algorithme de cryptage AES 128 v Algorithme d authentification SHA1 v Utilisation de la PFS Perfect Forward Secrecy modifier cette valeur seulement pour certains cas d interop rabilit PFS Groupe DH Groupe2 v Lifetime 8heures DPD Timeout La d tection DPD Dead Peer Detection
45. l adresse des serveurs DNS est attribu e automatiquement Autrement cocher cette case et saisir l adresse IP des serveurs DNS primaires et secondaires e Cliquer Suivant La page Connexion au r seau cellulaire est affich e Param tre APN Saisir le libell du point d acc s entre le r seau cellulaire et l Internet Exemple Websfr ou orange business Param tre Code PIN Saisir le code PIN de la carte SIM e Cliquer Suivant Page 72 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE AU MOYEN DE LU ASSISTANT ETAPE 3 RESEAU MACHINE La page interface machine LAN est affich e Remarques L adresse du r seau Machine doit imp rativement tre diff rente de l adresse du r seau de l Usine Si ce n est pas le cas il faut modifier les adresses des quipements de la machine L adresse IP du r seau Machine doit galement tre diff rente de l adresse du r seau du PC distant Si ce n est pas le cas il n est pas n cessaire de modifier l adresse des quipements de la machine on peut utiliser l option de translation d crite plus bas Exemples R seau R seau Usine R seau du PC Machine distant OK 192 168 12 0 192 168 1 0 192 168 10 0 OK 192 168 12 0 192 168 10 0 192 168 10 0 Les adr Machine et Usine sont identiques 192 168 1 0 192 168 1 0 192 168 10 0 Il faut changer les adr des quipements de la Machine ou se conformer a
46. la passerelle s rie Passerelle s rie Configurer l envoi d un SMS sue fermeture de l entr e TOR Alarme R gler l acc s au serveur d administration S curit gt Droits d administration Pour acc der au param trage Expert cliquer le bouton e Menu Expert de la page d accueil our acc der au mode de param trage Expert Remarque Dans la suite du texte le routeur RAS est d sign par l expression Routeur ETIC Routeur RAS Manuel d utilisation 9022309 01 Page 77 PARAMETRAGE EXPERT 1 Acc s Internet 1 1 Principe Les interfaces suivantes peuvent tre utilis es pour la connexion l internet e L interface Ethernet WAN e L interface cellulaire e l interface WiFi e L interface Ethernet LAN 1 2 Interface Ethernet WAN e S lectionner le menu Configuration gt Interface WAN gt WAN Ethernet Case cocher Type de WAN Choisir la valeur Ethernet Paragraphe Configuration du WAN Ethernet Param tre Speed Duplex CS lectioner 10 ou 100 Mb s et full ou half duplex Paragraphe Configuration IP du WAN Ethernet Case cocher Activer S lectionner la case cocher Case cocher PPPOE a PPPoE assure l tablissement d une connexion PPP point to point protocol entre le port Ethernet N 1 du routeur ETIC et un fournisseur de service FAI sur l internet via un modem connect au port Ethernet du routeur ETIC Cette solution p
47. le cas il n est pas n cessaire de modifier l adresse des quipements de la machine on peut utiliser l option de translation d crite plus bas Param tres adresse IP Masque de sous r seau Passerelle par d faut Serveur DNS primaire serveur DNS secondaire Saisir l adresse IP attribu e au routeur RAS sur le r seau WAN et le masque de ce r seau l adresse IP de la passerelle par d faut sur ce r seau Param tres Serveur DNS primaire serveur DNS secondaire Saisir l adresse IP des serveurs DNS primaires et secondaires Liste de choix le r seau Machine est il identique au r seau IP du PC distant Si la r ponse est Non aucune saisie compl mentaire n est n cessaire Param tres Adresse IP dans laquelle translater le LAN Si la r ponse la question pr c dente est Oui il faut translater le r seau Machine Saisir l adresse translat e attribu e au r seau Machine on choisit pour le r seau Machine une adresse du r seau du PC distant Page 60 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE AU MOYEN DE LU ASSISTANT Exemples R seau R seau du PC distant Machine et Usine confondus OK 192 168 12 0 192 168 10 0 il faut translater virtuellement l adresse 192 168 10 0 192 168 10 0 du r seau Machine et Usine e Cliquer e Suivant La page Serveur proxy est affich e Un serveur proxy filtre les connexi
48. programm s pour prot ger l acc s au serveur d administration Ci https 192168 38 191 44 x lt Q https 192 168 38 191 4433 A Q Authentification requise Le serveur https 192 168 38 191 4433 requiert un nom sateu Jessage du serveur cgi La page d accueil du serveur de configuration s affiche 7 Configuration en SSH La connexion SSH Secure Shell est une connexion telnet s curis e par le protocole TLS Le port SSH est 22 Le nom et le mot de passe permettant une connexion SSH sont ceux qui ont t configur s dans la page web Droits d administration L utilisateur peut alors consulter ou modifier les param tres de configuration en mode commande CLI Routeur RAS Manuel d utilisation 9022309 01 Page 51 PREPARER LE PARAMETRAGE 8 Restituer l IP Usine et l acc s libre l administration En cas de perte du mot de passe du serveur d administration ou bien si l adresse IP du serveur d administration n est pas connue il peut tre utile de restituer l adresse IP usine du routeur et l acc s libre par l interface LAN e Appuyer sur le bouton poussoir plac sur la face arri re alors que le routeur est en fonctionnement la led d alimentation clignote rapidement en rouge Le routeur reprend l adresse IP usine 192 168 0 128 jusqu la prochaine mise sous tension Le serveur HTML d administration est accessible sans mot de passe et en HTTP jusqu la prochaine mise sous tension
49. serveur d administration s affiche Remarque une fois la configuration effectu e Il est conseill de l enregistrer dans un fichier menu maintenance Routeur RAS etic TELECOM Home Y Set D WAN Interfaces P LAN imerface P Remote access P Network P Secunty D Senal gateways b alams b System T Diagnostics P Logs Current ceruficate D Network status Y Stavstics Celular Celuler dates Y rech Ping WiFi Scanning D Hardware D Advanced diagnostic Y Maintenance Configurations management Firmware update Software options Notepad Reboot About M2M H ie gt Quickstart Configuration summary Wan IP auto Proxy disabled X M2Me disabled wi 1 device created wv Zusers created x No acces rights wv LaniP 1921680 128 Manuel d utilisation 9022309 01 RAS ECW 400 site Product state Disconnected from MIMe service No users connected LANP 1921660128 0 1 devices avalatle Fran ais English i Documentation Page 49 PREPARER LE PARAMETRAGE 2 Prot ger l acc s au serveur d administration Pour viter la modification inopportune du param trage du routeur il est utile de prot ger l acc s au serveur d administration e S lectionner le menu Configuration gt S curit gt Droits d acc s e Entrer un login et un mot de passe et s lectionner la case cocher Prot ger l acc s au serveur d administration 3 Choix de l outil de configuration Le routeur peut se configurer par l un de
50. suivants Routeur avec prises Ethernet RAS E 100 400 220 Prise Ethernet vers Internet WAN e H H M2Me ready Liste de 25 utilisateurs distants s Filtrage individualis des utilisateurs distants e e Firewall SPI e e e VPN IPSEC amp OpenVPN Passerelle s rie Raw TCP et UDP Telnet Modbus R Unitelway Ethernet 10 100 BT LAN 1 4 2 RS232 S 1 RS485 R 1 USB 1 1 1 Entr e TOR pour email d alarmes 1 1 1 Configuration HTTPS HTML SSH e e e Fonctions avanc es de routeur IP NAT port forwarding SNMP DHCP Page 10 Manuel d utilisation 9022309 01 Routeur RAS PRESENTATION Routeur avec prises Ethernet et Wifi RAS EW 400 220 Prise Ethernet vers Internet Interface WiFi 2 4 GHz et 5 GHz client ou point d acc s e e M2Me ready Liste de 25 utilisateurs distants Filtrage individualis des utilisateurs distants e Firewall SPI e e VPN IPSEC amp SSL Passerelle s rie Raw TCP et UDP Telnet Modbus E R Unitelway Ethernet 10 100 BT 4 2 RS232 1 RS485 1 USB 1 1 Entr e TOR pour email d alarmes 1 1 Configuration HTTPS HTML SSH e e Fonctions avanc es de routeur IP NAT port forwarding SNMP DHCP Routeur RAS Manuel d utilisation 9022309 01 Page 11 PRESENTATION Routeur avec prises Ethernet et interface cellulaire
51. tre Num ro du port UDP Fixe le N du port UDP utiliser permettant de recevoir les donn es d un ou plusieurs quipements sur le r seau Attention Si 2 passerelles du m me type sont actives sur les deux ports s rie elles ne peuvent pas utiliser le m me N de port UDP Page 146 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT Param tre Liste de Destinations Transmettre automatiquement les caract res re us de la RS232 RS485 vers les destinations indiqu s pour un quipement ma tre ou client renseigner tous les quipements esclaves Pour un quipement esclave ou serveur renseigner l quipement ma tre Un quipement est d fini par une adresse IP et un port V rifier que le port correspond au champ Num ro du port UDP configur dans la passerelle Raw UDP de l quipement distant Routeur RAS Manuel d utilisation 9022309 01 Page 147 PARAMETRAGE EXPERT 15 5 Passerelle Unitelway La passerelle Unitelway permet de connecter un serveur a a serveur Keen automate s rie ma tre unitelway un r seau IP Elle permet en particulier de r aliser la fonction de t l maintenance d automates Schneider Electric RS485 via un r seau IP Ethemet Client TCP Unitelway Unitelway esclave RS485 Unitelway ma re Unitelway esclaves jusqu 31 e Cliquer le menu Unitelway e Cocher activer la passerelle D signer l adresse Xway de l automate ma tre et
52. tres Adresse IP Saisir l adresse IP de l quipement e Cliquer e Suivant e Page 64 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE AU MOYEN DE LU ASSISTANT ETAPE 4 UTILISATEURS DISTANTS La page Liste des utilisateurs distants est affich e Remarque Par d faut le nom et le mot de passe de chaque utilisateur est v rifi mais pas le certificat du PC distant Cliquer sur le bouton Ajouter pour ajouter un utilisateur la liste Les champs sur fond rouge doivent imp rativement tre saisis Case cocher Actif Elle permet de retirer temporairement un utilisateur de la liste Param tre Nom complet C est le libell qui appara t dans le premier champ de la liste des utilisateurs autoris s Il permet en particulier de garder la trace de chaque connexion de l utilisateur dans le journal Param tres Email et N de t l phone L adresse mail permet l mission d un email d alarme Le N de t l phone permet l envoi d un SMS routeur cellulaire seulement Param tres Nom d utilisateur et mot de passe Ces deux codes identifient et authentifient l utilisateur distant e Cliquer e Suivant La page Droits d acc s est affich e Cette page permet affecter des droits chaque utilisateur distant Chaque ligne du tableau d finit un utilisateur et l quipement auquel il peut acc der adr IP et service Pour ajouter
53. un r seau ancien un nouveau plan d adresses IP Mapping Routeur RAS Manuel d utilisation 9022309 01 Page 129 PARAMETRAGE EXPERT 12 3 2 Configuration Pour mettre en uvre la fonction NAT avanc e E C all IPL A 400 site s lectionner le menu Configuration gt R seau gt Routage gt NAT avanc Accueil Y Configuration Interface WAN Interface LAN Ethernet et IP Serveur DHCP Liste des quipements v Acc s distant Liste des utilisateurs Droits d acc s Moyens d acc s v R seau P Connexions VPN Routage Redondance VRRP Redirection de port NAT avanc DynDNS Qos DiffServ gt S curit Passerelles s rie Alarmes gt Syst me Diagnostics gt Maintenance propos ES h tp 192 168 38 191 4433 cgi method get menu amp amp menu true amp amp lang fr gt Accueil gt Configuration gt R seau gt NAT avanc gt R gle DNAT Enregistrer Annuler Modifcatons sur ls page non enregistr es Champ adresse IP Laisser le champ vide pour que la r gle s applique toutes les adresses P Saisir une adresse P seule ex 192 168 0 1 ou une adresse r seau ex 192 168 0 0 24 ou 192 168 0 0 255 255 255 0 Champs port Laisser le champ vide pour que la r gle s applique tous les ports Entrer un num ro sous la forme xx pour d signer un port unique ex 80 pour HTTP Entrer un num ro sous la forme xx yy zz pour d signer un group
54. un nouveau droit un utilisateur cliquer le bouton Ajouter s lectionner un utilsateur dans la liste et l quipement auquel on lui donne acc s Pour donner l utilisateur l acc s tous les quipements du r seau Machine s lectionner la valeur Tous les quipements e Cliquer Suivant et appliquer la configuration Routeur RAS Manuel d utilisation 9022309 01 Page 65 PARAMETRAGE AU MOYEN DE LU ASSISTANT 4 Configuration du routeur RAS selon le sc nario 4 La machine est reli e l Internet par un r seau WiFi d entreprise l interface WiFi du routeur RAS est donc utilis en client WiFi et ne peut pas tre utilis simultan ment en point d acc s Sc nario Mod le Acc s l Internet Raccordement Sch ma du routeur RAS vers l Internet Machine RAS EW F St 4 RAS ECW R seau WiFi Antenne WiFi mmer P ETAPE 1 CHOIX DU SCENARIO e Cliquer le bandeau assistant de configuration et s lectionner le sc nario 4 ETAPE 2 CONNEXION M2Me La page Connexion au r seau WiFi WAN est affich e Param tre Nom du r seau SSID Saisir le libell du point d acc s auquel l interface WiFi du routeur RAS doit se connecter Param tre Cl partag e Saisir la cl WPA ou WEP du r seau Elle est fix e par le point d acc s WiFi e Cliquer Suivant La page Serveur proxy est affich e Un serveur proxy filtre les connexi
55. 168 10 0 Machine Param tres Adresse IP amp Masque de sous r seau Routeur RAS Manuel d utilisation 9022309 01 Page 63 PARAMETRAGE AU MOYEN DE LU ASSISTANT Saisir l adresse IP du routeur RAS sur le r seau Machine el le masque du r seau Machine Liste de choix le r seau Machine est il identique au r seau IP du PC distant Si la r ponse est Non aucune saisie compl mentaire n est n cessaire Param tres Adresse IP dans laquelle translater le LAN Si la r ponse la question pr c dente est Oui il faut translater le r seau Machine Saisir l adresse translat e attribu e au r seau Machine on choisit pour le r seau Machine une adresse la fois diff rente du r seau du PC distant et du r seau Usine e Cliquer e Suivant e La page Liste des quipements est affich e Cette page permet d enregistrer les quipements dont l acc s pourra ensuite tre autoris aux utilisateurs distants Si l acc s tous les quipements du r seau Machine doit tre attribu tous les utilisateurs il est inutile de d finir les quipements de la machine Si on souhaite filtrer l acc s distant aux quipements de la Machine cliquer le bouton Ajouter pour d finir successivement les quipements de la machine auxquels on souhaite donner un acc s distant Param tres Nom Saisir le nom de l quipement de la Machine automate de pompage par exemple Param
56. 24 Param tres Param tres avanc s Pour afficher ces param tres cocher la case param tres avanc s Param tres Configuration port 1 Configuration port 4 Les ports 1 4 ou 1 2 du switch Ethernet sont d tection automatique de d bit cependant dans des cas particuliers il peut tre utile de fixer leur comportement ou encore de d sactiver certains ports pour des raisons de s curit Valeur Observation Auto n gociation Le switch n gocie le d bit et le mode de fonctionnement du port Ethernet 100 M full duplex 10 M full duplex 100 M half duplex 10 M half duplex D sactiv Le fonctionnement du port Ethernet est d sactiv Param tre Serveur DNS primaire Saisir l adresse P du serveur DNS principal Param tre Serveur DNS secondaire Saisir l adresse P du serveur DNS secondaire Case cocher Activer proxy ARP Proxy Arp permet au Routeur ETIC de simuler sur son interface LAN le comportement d un quipement situ sur son interface WAN afin que les trames IP puissent effectivement tre rout es du LAN vers le WAN Cette fonction peut tre n cessaire par exemple lorsque des quipements poss dant une adresse IP du domaine du LAN sont connect s l interface WAN Cette fonction n est pas n cessaire habituellement Routeur RAS Manuel d utilisation 9022309 01 Page 87 PARAMETRAGE EXPERT Param tre Adresse
57. 5 GHz OFDM Mode 802 11 b 2 4 GHz DSSS Mode 802 11 g 2 4 GHz OFDM Remarque Le mode choisi doit galement tre attribu au client WiFi Case cocher Activer 802 1 1n haut d bit Le mode 802 11n permet de transmettre un d bit plus lev jusqu 200 Mb s mais avec une port e r duite 100 m tres en champ libre et au maximum Remarque Si ce mode est s lectionn il est n cessaire de s assurer du fonctionnement avec les clients WiFi envisag et dans la zone envisag e Param tre canal Le point d acc s WiFi peut utiliser un canal radio fr quence parmi la liste propos e Il est pr f rable d utiliser un canal radio non utilis par un autre r seau WiFi de la m me zone Routeur RAS Manuel d utilisation 9022309 01 Page 91 PARAMETRAGE EXPERT Le scanner Wifi permet de d tecter les r seaux WiFi de la m me zone Voir le chapitre Diagnostic de la pr sente notice Page 92 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 3 Param trage de la connexion M2Me_Connect 3 1 Pr sentation Principe Il arrive fr quemment que la connexion entre le PC et le routeur sur l Internet ne soit pas possible parce que ni le PC ni le routeur ne disposent d adresses IP publiques ou bien faute de pouvoir r gler le routeur d entreprise ou bien faute d autorisation Le service M2Me_Connect permet de r soudre la difficult Gr ce M2Me_Connect le PC se connecte la machi
58. 55 comme indice de priorit tandis que les autres routeurs que Ton d signera comme routeur de secours resteront silencieux Le routeur ma tre prend en charge la fonction de routeur il r pond aux requ tes ARP mises par les quipements du r seau De plus il diffuse r guli rement un message de pr sence au moyen de l adresse multicast 224 0 0 18 avec un num ro de protocole IP 112 A d faut de recevoir le message un nouveau routeur ma tre est lu Le routeur ETIC g re ce protocole aussi bien sur l interface LAN 11 2 Configuration Param tres Activer VRRP sur l interface LAN Cocher cette case pour activer VRRP sur l interface LAN Param tres Identit VRRP 1 255 Affecter un code d identit au groupe de routeurs entre 1 et 255 Tous les routeurs du m me groupe doivent poss der le m me code Deux groupes diff rents ne peuvent poss der le m me code Param tres Adresse IP virtuelle Enregistrer l adresse IP virtuelle commune tous les routeurs du groupe Tous les routeurs agissant en redondance doivent poss der la m me adresse IP virtuelle Param tres Indice de priorit VRRP 1 255 Affecter un indice de priorit au routeur entre 1 et 255 L indice le plus lev d signe le routeur le plus prioritaire Routeur RAS Manuel d utilisation 9022309 01 Page 125 PARAMETRAGE EXPERT Param tres adresse MAC virtuelle On peut associer une adresse MAC virtuelle l adress
59. AN pour prot ger les quipements connect s au r seau LAN Sa structure est r sum e ci dessous VPN e I Main filter Deny of service pe Network H Remote users PC tablet connection smartphone LAN network Il comporte trois parties e Le filtre principal Il filtre les trames IP en fonction de l adresse IP et du port source et de l adresse IP et du port destination Ce filtrage s applique aux trames v hicul es dans les VPN ou hors des VPN Pour une meilleure organisation il comporte deux filtres s par s Le filtre qui agit sur les trames IP v hicul es dans les VPN Le filtre qui agit sur les trames IP v hicul es hors des VPN Le filtre principal agit sur toutes les trames sauf celles qui sont v hicul es dans les connexions d utilisateurs distants qui sont trait es par le filtre d utilisateurs distants voir ci dessous Pour distinguer une connexion d utilisateur distant de type OpenVPN d un tunnel OpenVPN tabli entre routeurs le routeur d tecte le N de port Si le N de port d tect est le N d clar pour une connexion d utilisateurs distants le filtre des connexion d utilisateurs s appliquera et pas le filtre principal Notes On veillera donc choisir un N de port diff rent pour les connexions OpenVPN d Utilisateur distant et les connexions OpenVPN entre routeurs La fonction dite de redirection de port qui renvoie le trafic destin au routeur sur l inter
60. Acc s l Internet Raccordement pour Raccordement machine l acc s l Internet RAS EW R seau WiFi d entreprise Interface WiFI du routeur Prise Ethernet LAN 1 4 RAS ECW r gl e en client WiFi selon mod le Liaison s rie R gle de mise en service Les r gles sont d taill es au paragraphe installation du routeur WiFI choix du r seau WiFi et disposition de l antenne R gles d attribution des adresses IP R gle Le domaine d adresses IP de la machine doit tre diff rent du domaine du r seau du PC distant Si ce n est pas le cas il faut utiliser l option Mapping machine propos e par l assistant Si cette option est s lectionn e et uniquement pour la connexion M2Me et VPN le routeur RAS renomme virtuellement le r seau machine pour se conformer la r gle 1 ci dessus Exemple 1 R seau machine 192 168 1 0 R seau du PC distant 192 168 1 0 Le r seau machine est le m me que le r seau du PC distant l option Remapping doit tre s lectionn e et le r seau machine virtuellement renomm dans un domaine au choix 192 168 147 0 24 par exemple Page 28 Manuel d utilisation 9022309 01 Routeur RAS PRESENTATION Fonctions possibles T l maintenance M2Me ke Droits d acc s individualis s des utilisateurs distants Etablissement d un VPN suppl mentaire vers un serveur VPN sur Internet pour des fonctions de supervision par exemple Envoi d un email sur fermeture ou ouv
61. Case cocher Activer le Proxy Arp bd Cette fonction permet de rendre l quipement distant BRAS broadband remote access server accessible depuis le LAN Laisser cette case d sactiv e sauf sur demande de la hotline Routeur RAS Manuel d utilisation 9022309 01 Page 79 PARAMETRAGE EXPERT 1 3 Interface WAN cellulaire Deux cartes SIM peuvent tre ins r es dans le Routeur ETIC pour permettre l utilisation d un deuxi me r seau cellulaire en cas de panne du premier e S lectionner le menu Configuration gt Interface WAN Case cocher Type de WAN Choisir la valeur Cellulaire Param tre Priorit Le param tre priorit permet de hi rarchiser la priorit entre plusieurs routes pouvant agir en secours l une de l autre En l absence de route de secours saisir la valeur 10 Remarque plus la valeur est lev e 1 100 mois la route est prioritaire Param tre Carte SIM Il est possible de s lectionner la carte SIM N 1 ou bien la carte SIM N 2 ou bien les deux Param tre carte SIM Valeur SIMI La carte SIM plac e dans le logement 1 est s lectionn e SIM2 La carte SIM plac e dans le logement 2 est s lectionn e SIM 1 backup sur SIM2 Le Routeur ETIC utilise la carte SIM N Ten priorit et en cas de d faut de fonctionnement du r seau cellulaire il utilise la carte SIM2 Dans ce cas les temporisations de basculement d un r
62. IP additionnelle et Masque de sous r seau additionnel Il est possible d attribuer une seconde adresse IP l interface LAN du Routeur ETIC Dans ce cas le Routeur ETIC appartient aux deux r seaux IP Case cocher D sactiver ICMP redirect ICMP est un protocole de m me niveau que IP Il permet aux quipements de g rer les erreurs survenant sur le r seau ICMP redirect est un des messages de ICMP Lorsque plusieurs routeurs sont pr sents sur l interface LAN et qu un quipement fait appel tort au routeur ETIC pour router les trames IP vers un autre r seau e ICMP redirect permet au routeur ETIC de transmettre cet quipement la route adapt e c est dire l adresse IP d un autre routeur du r seau LAN Page 88 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 2 3 Menu Serveur DHCP La fonction serveur DHCP permet de r server une plage d adresses IP du domaine du r seau LAN Les adresses de cette plage sont automatiquement attribu es aux quipements du r seau LAN configur s en client DHCP lorsqu ils en font la demande Les adresses ext rieures cette plage peuvent tre attribu es de mani re fixe aux autres quipements du r seau Remarque Lorsque le Routeur ETIC est quip de l option WiFi et qu il est configur en point d acc s afin de permettre la connexion d quipements WiFi tels qu un PC une tablette ou un smartphone il est conseill de s lectio
63. L adresse LAN du routeur e Normal doit tre saisie comme passerelle par d faut dans le routeur Secours menu Interface LAN gt Ethernet et IP Remarque Cette solution prot ge contre la d faillance de la connexion cellulaire pour s affranchir en plus de la d faillance du routeur lui m me il faut activer le protocole VRRP Valeur Observation WAN cellulaire Le VPN ne peut s tablir que par l interface cellulaire WAN Ethernet Le VPN ne peut s tablir que par l interface Ethernet N 1 lorsqu il est d clar comme WAN en remplacement de l interface cellulaire WAN WiFi Le VPN ne peut s tablir que par l interface WiFi lorsqu il est d clar comme WAN en remplacement de l interface cellulaire Tous Le VPN s tablit par l interface WAN actif Interface cellulaire habituellement et si elle devient indisponible par l interface LAN Le VPN s tablit nouveau par l interface ADSL quand elle redevient disponible De cette fa on on cr une solution redondante Case cocher D marrer sur v nement Le VPN est habituellement tabli par le routeur d s la mise sous tension Cependant il peut tre int ressant de pouvoir commander l tablissement du VPN Il est possible de d clencher l tablissement du VPN sur l un des v nements suivants e WAN cellulaire connect e WAN cellulaire d connect e WAN Ethernet connect e WAN Ethernet d connect e Entr e digitale ferm e
64. La liaison s rie du routeur RAS peut galement tre utilis e R gles d attribution des adresses IP R gle Le domaine d adresses IP de la machine doit tre diff rent du domaine du r seau du PC distant Si ce n est pas le cas il faut utiliser l option Mapping machine propos e par l assistant Si cette option est s lectionn e et uniquement pour la connexion M2Me et VPN le routeur RAS renomme virtuellement le r seau machine pour se conformer la r gle 1 ci dessus Exemple 1 R seau machine 192 168 1 0 R seau du PC distant 192 168 1 0 Le r seau machine est le m me que le r seau du PC distant l option Remapping doit tre s lectionn e et le r seau machine virtuellement renomm dans un domaine au choix 192 168 147 0 24 par exemple Page 24 Manuel d utilisation 9022309 01 Routeur RAS PRESENTATION Fonctions possibles T l maintenance M2Me Droits d acc s individualis s des utilisateurs distants Echange entre les quipements de la machine et de l usine Etablissement d un VPN suppl mentaire vers un serveur VPN sur Internet pour des fonctions de supervision par exemple Envoi d un email sur fermeture ou ouverture de l entr e TOR S curit A distance l utilisateur ne peut acc der ou aux quipements de la machine explicitement enregistr s dans le firewall au moment de la configuration Il est recommand de donner acc s distance uniquement aux quip
65. M2ME_CONNECT nn rrrrrrrrnnnnenennne 93 3 1 Presentation tr Re den nd mn 93 3 2 Param trage d une connexion au service M2Me_Connect 93 4 CONNEXION DISTANTE Es ns nee nr nn Ne er er Me sr Ven nr 96 4 1 Avantages de la connexion distante 97 4 2 Types de connexions distantes e EEEEENEEEEENEEEEEEE 98 4 3 Param trage d une connexion distante de type OpenVPN 99 4 4 Param trage d une connexion OpenVPN pour smartphone En 100 4 5 Param trage d une connexion distante de type PPT aen 101 4 6 Param trage d une connexion distante de type L2TP IPSec EE 101 5 ENREGISTRER LES UTILISATEURS DISTANTS AUTORISES 104 5 1 Pr sentation RER RE ee ne1rnnnnnn nnne rrnennnnnn nnne rrnennnnnn nnne nrnnnnnn enneren nenene 104 5 2 Definir TE TE 105 Routeur RAS Manuel d utilisation 9022309 01 Page 5 SOMMAIRE PARAMETRAGE EXPERT 6 DEFINIR LES DROITS D ACCES DES UTILISATEURS een 106 7 PORTAIL SECURISE HTTPS POUR SMARTPHONE TABLETTE O PC 102 7 1 Pr sentation EE 102 7 2 CONFIQUPANON EEN 103 7 3 Acc der au portail HTTPS par l Internet nennen 103 8 INTERCONNEXION DE ROUTEURS AU MOYEN DE VPNS IPSEC een 107 8 1 ei E Le N RE 107 8 2 Param trage d une connexion VPN IPSec een 108 9 INTERCONNEXION DE ROUTEURS AU MOYEN DE VPN DE T
66. Menu puis e Nouveau site La fen tre de param trage du site appara t e S lectionner l onglet G n ral saisir le nom du site e S lectionner l onglet Connexion cocher la case Ce site est accessible par Internet e Dans le champ Nom d h te ou adresse IP saisir l adresse IP permettant d atteindre le routeur ETIC e S lectionner l onglet Avanc Choisir le protocole UDP ou TCP le N du port et les algorithmes de cryptage et hachage Attention Ces param tres doivent avoir la m me valeur que ceux s lectionn dans le routeur ETIC Routeur RAS Manuel d utilisation 9022309 01 Page 99 PARAMETRAGE EXPERT 4 4 Param trage d une connexion OpenVPN pour smartphone Il est possible de distinguer l acc s VPN destin aux PC voir paragraphe pr c dent de l acc s destin aux smartphones Cette connexion est de type identique la connexion OpenVPN du paragraphe pr c dent mais on la distingue par le N de port de destination e S lectionner la case cocher OpenVPN pour smartphone Param tres Num ro de port et protocoles Choisir le protocole de transport du VPN UDP ou TCP UDP est pr f rable TCP Le N de port peut tre quelconque mais la valeur doit tre choisie parmi celles qui sont autoris s sur le r seau du client Attention Le num ro de port utilis pour l interconnexion de routeurs par VPN doit tre diff rent du N de port utilis pou
67. Pour acc der aux diff rents journaux e S lectionner la page le menu Diagnostic gt Journal Journal principal Le journal principal enregistre et horodate les principaux v nements du routeur et en particulier Etat de la carte SIM Connexions et d connexions du r seau cellulaire Connexions et d connexions des VPN Connexion d connexions d utilisateurs distants Initialisation et d marrage du routeur Journal OpenVPN et journal IPSec Ces journaux enregistrent en d tail et horodatent les principaux v nements relatifs aux connexions et d connexions VPN Journal avanc Ce journal est destin notre hotline en cas d v nements particuli rement difficiles analyser avec les autres outils Etat de l interface cellulaire du routeur e S lectionner le menu Diagnostic gt Etat r seau gt Interfaces Etat de l interface cellulaire Param tres de base Champ Connect Oui Non Champ Adresse IP Adresse IP attribu l interface cellulaire du routeur Champ Qualit du signal Valeur en dBm du signal re u voir tableau des valeurs requises au chapitre Installation Champ Type de r seau Type du r seau cellulaire auquel le routeur s est connect 4G 3G GPRS Champ Op rateur Type du r seau cellulaire auquel le routeur s est connect Routeur RAS Manuel d utilisation 9022309 01 Page 153 MAINTENANCE Champ Cell Id N de la cellule sur laquelle le routeur est inscrit
68. Pour forcer l tablissement du VPN vers l interface cellulaire assigner au param tre la valeur e WAN cellulaire Lier le VPN l interface Ethernet WAN ou l interface WiFi Le VPN peut aussi tre forc vers l interface Ethernet N 1 lorsque l interface cellulaire a t d sactiv e et remplac e par l interface Ethernet N 1 Interface Ethernet WAN e Pour forcer l tablissement du VPN vers l interface Ethernet N 1 lorsqu elle a t activ e comme interface WAN la place de l interface cellulaire assigner au param tre la valeur WAN Ethernet e Pour forcer l tablissement du VPN vers l interface WiFi lorsqu elle a t activ e comme interface WAN la place de l interface cellulaire assigner au param tre la valeur WAN WiFi Page 118 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT Associer le VPN l interface disponible pour cr er une CR CR solution redondante Enfin on peut souhaiter cr er une solution redondante permettant de transmettre par une autre liaison et au moyen d un autre routeur lorsque la liaison cellulaire est d faillante Pour permettre au VPN de s tablir vers l interface LAN la INTERNET place de l interface cellulaire assigner au param tre la valeur IP network Tous L adresse LAN du routeur Secours doit tre saisie comme J passerelle par d faut dans le routeur Normal menu Normal P a Secours Interface LAN gt Ethernet et IP
69. R gles d attribution des adresses IP la machine R gle 1 Le domaine d adr IP de la machine doit tre diff rent du domaine du r seau du PC distant Si ce n est pas le cas il faut adapter le domaine du r seau machine ou bien modifier la mani re de connecter le routeur RAS R gle 2 Le domaine d adr IP de la machine doit tre diff rent du domaine du r seau d usine Si ce n est pas le cas il faut adapter le domaine du r seau machine ou bien utiliser l option Mapping machine propos e par l assistant Si cette option est s lectionn e et uniquement pour la connexion M2Me et VPN le routeur RAS renomme virtuellement le r seau machine pour se conformer aux r gles 1 et 2 ci dessus Exemple 1 R seau machine 192 168 1 0 R seau Usine 192 168 2 0 R seau du PC distant 192 168 1 0 Le r seau machine est le m me que le r seau du PC distant l option Remapping doit tre s lectionn e et le r seau machine virtuellement renomm dans un autre domaine au choix 192 168 147 0 24 par exemple Fonctions possibles T l maintenance M2Me k Droits d acc s individualis s des utilisateurs distants bd Echange bilat ral l initiative d un quipement de la machine versun quipement quelconque du r seau WAN Echange bilat ral l initiative d un quipement du r seau WAN vers Apr s enregistrement d une un quipement du r seau machine ou LAN r gle dans le firewall Etablissement
70. Retour e S lectionner Oui pour rendre la r gle active e Saisir les crit res de substitution Adr IP source Adr IP destination Protocole TCP UDP Port source Port destination e Saisir la nouvelle destination des trames r pondant aux crit res d crits ci dessus Adr IP source Routeur RAS Manuel d utilisation 9022309 01 Page 131 PARAMETRAGE EXPERT 13 Publier l adresse IP dynamique du routeur sur l Internet 13 1 Principe L adresse IP attribu e un routeur cellulaire n est g n ralement pas une adresse fixe mais une adresse dynamique qui change chaque connexion ou de fa on p riodique Cependant si l adresse IP attribu e au routeur ETIC par l op rateur est une adresse publique de l internet il est possible de joindre le routeur ETIC depuis l Internet en publiant l adresse IP obtenue sur un serveur sp cialis tel que DynDNS ou NolP Gr ce ce type de serveur un utilisateur pourra connecter son PC au routeur ETIC en utilisant le nom de domaine dynamique enregistr aupr s de DynDNS ou NolP mon_routeur_etictelecom dyndns org par exemple au lieu de l adresse IP inconnue Le proc d est le suivant Chaque fois qu il se connecte l Internet le routeur ETIC inscrit l adresse IP provisoire qu il re oit sur l Internet aupr s du serveur DynDNS ou NolP l emplacement qui lui est r serv mon_routeur_etictelecom dans notre exemple Chaque fois qu il souhaite
71. STIC VISUEL DE DEFAUT DE FONCTIONNEMENT 153 2 MENU DIAGNOSTIC see see eeeee eege te Ee ones te Menens connue oct egasenes anses conne nas tete nos ene 153 2 1 et Ur ET 153 2 2 Etat des passerelles s rie nnmnnn mennene 154 2 3 OUI dTa E e na nur nt EE nee nee nie le en ann ic 154 2 4 Outil Scanner WiFi E EE 154 3 SAUVEGARDE ET CHARGEMENT D UN FICHIER DE PARAMETRES 155 4 MISE A JOUR DU FIRMWARE EEEENEEEEEE E EEEEEE rennene nnmnnn ennen 156 Page 8 Manuel d utilisation 9022309 01 Routeur RAS PRESENTATION 1 D claration de conformit Identification Routeur IP pour la prise en main de machine distance R f rence RAS Au nom de la soci t ETIC Telecom Gilles B nas agissant en tant que directeur de la qualit d clare que le produit d crit dans la pr sente notice est conforme la directive R amp TTE Directive 1999 5 EC Le produit routeur est en particulier conforme aux normes suivantes Compatibilit EN 55022 EN 50024 EN 300386 2 FCC Part 15 S curit EN 60950 UL IEC950 Substance dangereuses 2002 95 CE RoHS Date 4 F vrier 2015 Gilles B nas Responsable de la qualit Routeur RAS Manuel d utilisation 9022309 01 Page 9 PRESENTATION 2 Identification des produits La pr sente notice d crit la mise en service et l utilisation des produits
72. TCP valeur 0 5 mn Fixe le temps au bout duquel la liaison TCP est rompue en cas d absence de caract res re us du r seau IP ou de la liaison s rie Param tre Num ro du port TCP Saisir le N du port TCP utiliser Attention Si 2 passerelles du m me type sont actives sur les deux ports s rie elles ne peuvent pas utiliser le m me N de port TCP Routeur RAS Manuel d utilisation 9022309 01 Page 145 PARAMETRAGE EXPERT 15 4 Passerelle RAW UDP 15 4 1 Pr sentation Cette passerelle permet de relier un ensemble d quipements s rie ou IP au travers d un r seau IP Les destinataires sont d sign s dans une liste tablie par configuration Cette solution est tr s simple de mise en uvre On d signe chaque correspondant par son adresse IP les donn es RS232 sont envoy es sous forme de trames IP adress es individuellement chaque correspondant enregistr 15 4 2 Configuration S lectionner le menu passerelle puis Transparent puis Raw UDP Cocher activer puis r gler les param tres ci dessous Param tre Taille du buffer de r ception RS232 485 valeur 1 1024 Fixe la taille maximum en octets d un bloc transmis vers le r seau IP Param tre Timeout fin de trame RS232 485 valeur 10 ms 5 sec Fixe d lai de silence maximum apr s lequel le buffer de caract res re us de la liaison RS232 RS485 est transmis vers le r seau IP Param
73. Y R seau Y Connexions VPN Connexions IPSec Param tres IPSec OpenVPN D finissez les r seaux auquels vous voulez avoir acc s IPSec P Routage Actif Redondance VRRP Redirection de port NAT avanc DynDNS Afficher Modifier Supprimer Ajouter Copier et modifier A V Qos DiffServ S curit Passerelles s rie Enregistrer Annuler Alarmes gt Syst me Diagnostics gt Maintenance X Nom Connexion GER Ee LAN Adresse IP WAN distante connexion 1 Initiateur 192 168 2 0 79 94 12 163 192 168 3 0 D Oui Oui Connexion 2 Repondeur Page 108 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT Pour ajouter une connexion VPN IPSec cliquer Ajouter IPL A 400 S Param tres avanc s W E Lien Nom connexion1 Y Configuration r e es zs Interface WAN A e e d authentification utilis e pour les connexions IPSec k interface LAN Si le produit est situ derri re un routeur qui effectue de la translation d adresse ou redirection de port DNAT et que vous souhaitez configurer le produit en connexion entrante alors vous devez obligatoirement choisir une authentification par certificat num rique b Acc s distant KEENT Authentification par Cl pr partag e v Y R seau Y Connexions VPN Selectionner le type de connexion entrante ou sortante que vous souhaitez configurer OpenVPN Connexion Initiateur Y IPSec g
74. YPE OPENVPN 113 9 1 Pr sentation E 113 9 1 1 Etapes de la configuration 114 9 1 2 A the tificatioh zssssss sine daim nn rm nemen teens 114 9 1 3 Contraintes de param trage 114 9 2 Param trage du serveur OpenVPN ts nniirererrnnenerrrrs 115 9 3 Configurer une connexion OpenVPN sortante eeaeee aeee ee ennenen 117 9 4 Configurer une connexion OpenVPN entrante 120 RN ENT 121 10 1 Fonctions de base een 121 10 2 Route statique 122 10 3 PrOtOCOIS ni AEE E en E en caen a Si nana tn nn ane te asus 124 11 REDONDANCE VRRP iii siccencenenonannnsenemenenennennnneseerenemnnennanenseeeeeneenne 125 11 1 Il 125 11 2 COONIQUrAHONE EE 125 12 SUBSTITUTION D ADR IP amp REDIRECTION DE PORT ees 127 12 1 Translation d adresse NAT 127 12 2 Redirection par HOER Ehe 127 TAZ SPRIACIPESLS HS me PR dires et ete ne 2 Rs nn ne ts 127 2 2 2 Tue TE ele EE 128 12 3 Substitution g n ralis e d adresses IP NAT avanc 129 125351 PIEDE AREAS Rite a Re re Et PR eq PA dt a ne he titine 129 12 3 2 Config ratiQ serre men Minime tennis Mme n s ete ts 130 Page 6 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 13 14 15 16 17 18 PUBLIER L ADRESSE IP DYNAMIQUE DU ROUTEUR SUR L INTERNET 132 13 1 ERR SE Re EE E 132 13 2 Param trage EES e NEE E EE entamer mener nsant 133 CONFIGURATION DU PARE FEU nr EEN RER E RENE 134 14 1 Pr sentation du pare feu 134 14 2
75. _Connect Si un port UDP ou TCP unique a t autoris cocher la case correspondante ou bien saisir la valeur de ce N de port TCP ou UDP Note L utilisation du protocole UDP est pr f rable TCP Routeur RAS Manuel d utilisation 9022309 01 Page 93 PARAMETRAGE EXPERT e Si un serveur proxy filtre les connexions sortantes d cocher la case Acc s Internet pas de proxy et saisir les param tres de ce serveur Param tre Serveur proxy Type http ou SOCKS5 Adresses et N de port Authentification Login et mot de passe fournir pour s y pr senter ventuellement Attention La cl de produit que l on trouve dans le menu A propos doit tre copi e afin d tre report dans le logiciel M2Medu PC de t l maintenance C est en effet cette cl qui autorise l acc s la machine e Tester la connexion Pour commander la connexion du Routeur ETIC au service M2Me_Connect cliquer le bouton Connecter maintenant Pour v rifier que la connexion s effectue normalement s lectionner le menu e Diagnostic puis e Etat r seau puis M2Me Lorsque la connexion aboutit le message Connect s affiche dans le champ Etat ainsi que le N de port et le protocole utilis Etape 2 Param trage du logiciel M2Me_Secure du PC distant e Ouvrir le logiciel M2Me Secure et saisir l identificateur et le mot de passe de l utilisateur c est celui qui sera ensuite cont
76. a connexion la plus favorable Ethernet si possible plut t que cellulaire D autre part lorsque l utilisateur distant ouvre son logiciel M2Me_Secure son PC tablit une connexion vers le serveur M2Me_Connect L annuaire des machines permet l utilisateur de s lectionner le site auquel il souhaite se connecter Le routeur RAS v rifie alors que l utilisateur distant fait partie de la liste d utilisateurs autoris s en contr lant son login et son mot de passe et optionnellement le certificat du PC distant Le routeur RAS attribue l utilisateur distant les droits d acc s associ s son identit Pour garantir la s curit n cessaire aux syst mes industriels la connexion est crypt e de bout en bout sans interception possible m me en cas d intrusion dans le serveur M2Me Page 18 Manuel d utilisation 9022309 01 Routeur RAS PRESENTATION 4 4 Avantages de la connexion M2Me_Connect Connexion sortante La connexion M2Me est tablie partir du routeur RAS vers l Internet c est une solution beaucoup mieux admise qu une connexion entrante de puis l Internet vers la machine Adresses IP priv e et dynamique Lorsque la machine est connect e sur un r seau d usine ou d entreprise ou bien lorsque la machine est connect e l internet par le r seau cellulaire les adresses IP des quipements qui la constituent ne sont pas accessibles depuis l Internet M2Me est la solution pour r soudre ce probl me Acc s chaque qu
77. adresses IP consiste modifier les adresses de source et ou de destination ainsi que le N de port des trames IP qui transitent par le routeur Elle s applique toute trame IP re ue par le routeur aussi bien sur son interface LAN que sur son interface WAN hormis aux trames v hicul es dans une connexion d utilisateur distant PPTP ou TLS Elle s applique aux trames dont la destination est le routeur ETIC lui m me aussi bien qu aux trames dont la destination est un quipement du r seau reli directement ou non l interface WAN ou l interface LAN On distingue la fonction DNAT qui consiste remplacer l adresse IP et le port de destination la fonction SNAT qui consiste remplacer l adresse IP source Puisque cette fonction consiste modifier les adresses de source et ou de destination des trames IP qui transitent par le routeur il est important de pr ciser si le firewall traite des trames IP dont les adresses ont t d j substitu es ou non L ordre dans lequel s effectue la substitution modifie en effet la mani re de configurer les r gles du filtre principal du firewall Les traitements de substitution s effectuent comme suit WAN vers le LAN TT CORRE PSS LAN vers le WAN La fonction de substitution d crite ci dessus on dit aussi translation est utile dans des cas tr s particuliers Pour router des trames par un chemin de secours par exemple ou encore pour adapter
78. age FTP M synoptique pn A Aements x ynoptique png Aiements Page 102 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 5 2 Configuration Pour activer la fonction portail web HTTPS et y donner acc s par le r seau LAN e S lectionner le menu Configuration gt Acc s distant gt Moyen d acc s e Cocher la case Activer le proxy HTTPS Pour y donner en plus acc s par l Internet WAN e S lectionner le menu Configuration gt S curit gt Droits d administration e Cocher la case Utiliser HTTPS pour la configuration e Cocher la case Activer l acc s par le WAN Note importante Lorsque le portail HTTPS est activ le serveur de configuration du routeur ETIC est remplac par le portail web Cependant le serveur de configuration reste accessible mais il faut pr ciser le N de port Acc s Par l Internet Par le LAN Portal Web HTTPS https adr IP Internet https adr IP LAN Serveur de configuration HTTPS du routeur https adr IP Internet 4433 https adr IP LAN 4433 ou ou adr IP Internet 8080 adr IP LAN 8080 avec login et PWD avec login et PWD 5 3 Acc der au portail HTTPS par l Internet Pour acc der au portail web HTTPS par l Internet e Lancer le navigateur e Entrer l adresse publique Internet du routeur https e adresse IP Internet du routeur e Saisir le nom et le mot de passe d un utilisateur enregistr dans la l
79. al cellulaire Icel 1 impulsion Insuffisant ou faible 2 impulsions Suffisant 3 impulsions Bon ou tr s bon signal Voir d tail dans tableau ci dessous oul 2 Ethernet M2Me Eteint Non connect au service M2Me_Connect WAN Clignotant lent 2 s Connexion en cours lere tape Vert Connect l ger clignotement en pr sence de data Ethernet Voyant inf rieur Eteint Interface d sactiv WAN Vert Interface actif l ger clignotement en pr sence de data Connexion WiFi Eteint Pas de signal mesur ou WiFi configur en point d acc s WiFi 1 impulsion Insuffisant ou faible 2 impulsions Suffisant 3 impulsions Bon ou tr s bon signal Qualit du il SE Eteint Interface d sactiv signal WiFi WiFi Vert Interface actif l ger clignotement en pr sence de data Ethernet LAN Voyant inf rieur F gt 1 4 Eteint Interface d sactiv Vert Interface actif l ger clignotement en pr sence de data RAS EC 220 RAS ECW 220 RS485 Rx Caract res re us de la liaison V24 RS232 vers le router ETIC Tx Caract res transmis vers la liaison V24 RS232 depuis le router ETIC Page 42 Manuel d utilisation 9022309 01 Routeur RAS INSTALLATION 2 Installer le routeur sur le rail DIN Pour installer le produit sur un rail Din 35 mm Incliner le produit Engager le produit dans la partie sup rieure du rail Pousser pour encliqueter Laisser un espace d environ 1 cm de part et d autr
80. ants est affich e Cette page permet d enregistrer la liste des utilisateurs distants autoris s Remarque Par d faut le nom et le mot de passe de chaque utilisateur est v rifi mais pas le certificat du PC distant Cliquer sur le bouton Ajouter pour ajouter un utilisateur la liste Les champs sur fond rouge doivent imp rativement tre saisis Case cocher Actif Elle permet de retirer temporairement un utilisateur de la liste Param tre Nom complet C est le libell qui appara t dans le premier champ de la liste des utilisateurs autoris s Il permet en particulier de garder la trace de chaque connexion de l utilisateur dans le journal Param tres Email et N de t l phone L adresse mail permet l mission d un email d alarme Le N de t l phone permet l envoi d un SMS routeur cellulaire seulement Param tres Nom d utilisateur et mot de passe Ces deux codes identifient et authentifient l utilisateur distant e Cliquer e Suivant La page Droits d acc s est affich e Cette page permet affecter des droits chaque utilisateur distant Chaque ligne du tableau d finit un utilisateur et l quipement auquel il peut acc der adr IP et service Pour ajouter un nouveau droit un utilisateur cliquer le bouton Ajouter s lectionner un utilisateur dans la liste et l quipement auquel on lui donne acc s Pour donner l ut
81. aram tre Nombre d essais Saisir le nombre de tests infructueux successifs avant de r initialiser le module de transmission de donn es AG 3G Routeur RAS Manuel d utilisation 9022309 01 Page 83 PARAMETRAGE EXPERT 1 4 Interface WAN WiFi L interface WAN normalement s lectionn est l interface cellulaire dont la configuration a t d crite au paragraphe pr c dent L interface WiFi du Routeur doit tre param tr en client WiFi et pas un point d acc s Lorsque l interface WiFi est s lectionn e comme interface WAN le voyant WiFi s claire et le voyant de niveau de r ception indique la qualit de la liaison avec le point d acc s Pour s lectionner l interface WiFi e S lectionner le menu Configuration gt Interface WAN e S lectionner le type de WAN WiFi Param tre Nom de r seau WiFi SSID Saisir un libell libre qui d signe le r seau WiFi Param tre Authentification Choisir le mode d authentification WPA ou WEP ou le mode non s curis non recommand Param tre Cl partag e Saisir la cl WPA ou WEP du r seau Elle est fix e par le point d acc s WiFi Param tre Priorit du WAN WiFi Saisir la valeur 10 Case cocher Obtenir une adresse IP automatiquement Cocher cette case si l adresse IP est attribu e par le point d acc s WiFi Autrement d cocher cette case et saisir l adresse IP attribu e au routeur ETIC sur c
82. asse devront donc tre enregistr s dans la connexion entrante du serveur VPN Param tre Adresse IP du serveur VPN C est l adresse vers laquelle le tunnel VPN doit tre tabli Cette adresse peut tre soit l adresse IP fixe Internet du routeur distant soit son nom de domaine sur DynDns org ou NolP soit son nom de domaine Param tre Adresse IP du serveur VPN de backup Ce param tre permet de d signer un serveur VPN de secours Si le serveur principal n est pas accessible le routeur ETIC tablit le VPN avec le serveur de secours Routeur RAS Manuel d utilisation 9022309 01 Page 117 PARAMETRAGE EXPERT En l absence de serveur de secours laisser ce champ vide Param tres Num ro de port et protocole On choisira de pr f rence le protocole UDP plut t que TCP pour une meilleure efficacit Di Param tres Chiffrement amp Authentification Les algorithmes de cryptage et de hachage propos s sont tous d un haut niveau de s curit par exemple l ancien algorithme DES n est pas propos Toutefois AES offre une meilleure s curit par rapport 3DES de m me que SHA 1 par rapport MD5 Param tres lier le VPN une interface sp cifique Lier le VPN l interface cellulaire Une connexion VPN sortante de type OpenVPN est habituellement tablie via l interface WAN principale du routeur ETIC par exemple l interface cellulaire dans le cas du routeur ETIC e
83. ation par d faut est restitu e Remarque Apr s avoir restaur la configuration Usine du routeur la configuration courante est perdue sauf si elle a t sauvegard e dans un fichier voir paragraphe sauvegarde de la configuration Page 52 Manuel d utilisation 9022309 01 Routeur RAS PREPARER LE PARAMETRAGE 10 Syntaxe Format des adresses r seau Dans la suite du texte on appelle adresse r seau l adresse de valeur la plus basse du r seau Par exemple si le netmask est 255 255 255 0 l adresse r seau est X Y Z 0 Caract res autoris s les caract res accentu s ne peuvent tre saisis Routeur RAS Manuel d utilisation 9022309 01 Page 53 PARAMETRAGE AU MOYEN DE L ASSISTANT L assistant permet de mettre en service le routeur RAS avec une grande simplicit Il propose 6 sc narios d utilisation d crits au chapitre Pr sentation Chaque sc nario correspond aux situations qu il est possible de rencontrer e Pour param trer le routeur RAS au moyen de l assistant ouvrir la page d accueil du serveur d administration et cliquer le bandeau assistant de configuration La page des sc narios d utilisation est affich e etic Assisteng de configure vm di renar quitter Routeur RAS Choisissez votre moyen d acces Internet pm le r seau Ethernet WAN e E Se RS par le r seau cellulasre MEM Connect i acte S LE 1m Co pes ie reseau Ethemet avec secours celine RAS ECW 400 site
84. ble bornier 2 pts Alimentation RAS EC 220 Cellulaire Ethernet USB Bouton poussoir B1 Interface LAN Ethernet 1 amp 2 RS485 RS232 Poussoir Reset sur la face arri re Bornier 4 pts 1 E TOR 1 S TOR Double bornier 2 pts Alimentation Routeur RAS USB Cellulaire Bouton poussoir B1 Interface LAN k Ethemet 7 34 WW Poussoir Reset sur la face arri re Bornier 4 pts 1E TOR 1 S TOR Double bornier 2 pts Alimentation RAS ECW220 WiFi Ethernet USB Cellular LAN Ethernet 1 amp 2 au Rs232 P Bouton poussoir B1 Poussoir Reset sur la face arri re Bornier 4 pts 1E TOR 1 S TOR Double bornier 2 pts Alimentation Manuel d utilisation 9022309 01 Page 41 INSTALLATION VOYANTS RAS EC XYZ et RAS ECW XYZ D signation Fonction Op ration Vert En fonction A Rouge D marrage Erreur de d marrage grave ou erreur chargement firmware Rouge clignotant lent Alarme mat rielle Rouge clignotant rapide Chargement du firmware en cours Connexion Cel Eteint Carte SIM absente code PIN erron interface cellulaire inactif Cellulaire Impulsion toutes les 4s Interface cellulaire actif non connect e tat temporaire Clignotant lent 2 s Connexion en cours 1ere tape Clignotant rapide 0 5 s Connexion en cours 2eme tape mot de passe et IP Vert Connect l ger clignotement en pr sence de data Qualit du li Eteint Pas de signal mesur sign
85. bu s pour faire en sorte qu il puisse changer des donn es avec un quipement mais pas avec un autre si la s curit l exige S curit sur l Internet Les informations chang es entre le PC distant et les quipements de la machine sont authentifi s et crypt es de bout en bout par le PC d une part et le routeur RAS d autre part Il est donc impossible un tiers d acc der la machine depuis l Internet ou d intercepter les changes l gaux m me la suite d une attaque du service M2Me_Conect administr par ETIC TELECOM Routeur RAS Manuel d utilisation 9022309 01 Page 19 PRESENTATION 5 Les sc narios d utilisation du routeur RAS Il est possible d installer diff remment le routeur RAS selon le mod le et aussi selon la situation rencontr e sur le site o doit tre install e la machine On d crit ci dessous les diff rents sc narios possibles ainsi que dans chaque cas les cons quences ventuelles sur l utilisation ou bien ou sur la s curit Lors de la mise en service l assistant propose ces sc narios il suffit de s lectionner le sc nario adapt et de se laisser guider pour mettre en uvre la connexion Internet et la liste des utilisateurs Les fonctions accessoires peuvent tre configur es avec le mode Expert Page 20 Manuel d utilisation 9022309 01 Routeur RAS PRESENTATION Sc nario Acc s Raccordement Raccordement machine Internet l Internet 1 R seau Le routeur RAS isole l
86. c s de chaque utilisateur voir paragraphe suivant Le routeur ETIC permet aux utilisateurs distants de se connecter une machine simplement et avec un niveau de s curit lev en tablissant une connexion distante pour r aliser les op rations de t l exploitation ou t l maintenance par exemple Une fois identifi l utilisateur distant peut acc der aux diff rents quipements du r seau comme s il tait sur place Les donn es peuvent tre chiffr es pour la confidentialit Le routeur ETIC permet d attribuer chaque utilisateur des droits d acc s individualis s Un utilisateur peut acc der tel quipement ou groupe d quipements tandis qu un autre peut acc der d autres quipements La fonction e portail est destin e la consultation des pages web d automates ou de HMI elle permet l utilisateur d un smartphone ou d une tablette ou d un PC de consulter les serveurs web embarqu s en procurant un niveau de s curit adapt aux applications industrielles La connexion distante permet l authentification et la confientialit D IP network Internet PC tablette smartphone Le routeur filtre l utilisateur distant route les paquets pr sente le portail HTTPS ou HTTP Page 96 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 4 1 Avantages de la connexion distante Une connexion distante tablie depuis un PC une tablette ou un smartphone procure les avanta
87. chine distance par le service M2Me La famille de bo tiers RAS permet de raccorder une machine l internet et au service M2Me_Connect pour permettre sa prise en main de fa on simple et s re Le PC de l utilisateur distant est t l port sur le r seau de la machine en sorte que l utilisateur distant peut agir sur chacun des quipements de la machine comme s il tait sur place Machine Ethernet ou S rie RS232 RS485 RS422 USB La machine peut tre constitu e d un ensemble d quipements raccord s par un r seau Ethernet ou en option par une liaison s rie RS232 RS485 RS422 USB selon mod le Raccordement Internet par le r seau Usine ou le r seau cellulaire ou WiFi Le bo tier RAS se raccorde au r seau Internet soit par une prise Ethernet soit un modem 4G 3G GPRS soit par une interface WiFi selon les mod les be KE a aa T l mainteneur q Seet ea entreprise achine D En compl ment un bouquet de fonctions pour r pondre toutes les situations Outre la fonction de connexion au service M2Me les bo tiers RAS offrent un bouquet tr s riche de fonctions qui permettent son usage dans de multiples situations Routeur IP Table de routage RIP SNMP VRRP Client et serveur VPN IPSec ou OpenVPN Service d acc s distant RAS Firewall Page 16 Manuel d utilisation 9022309 01 Routeur RAS PRESENTATION 4 2 Organisation du routeur RAS Le routeur se connecte d une part au r
88. ctions avanc es de routeur IP f NAT port forwarding SNMP DHCP Routeur RAS Manuel d utilisation 9022309 01 PRESENTATION Page 13 PRESENTATION 3 Fiche technique Caract ristiques g n rales Dimensions 137 x 48 x 116 mm h l p EN50082 2 S curit lectrique EN 60950 UL 1950 ESD EN61000 4 2 D charge 6 KV Champ HF EN61000 4 3 10V m lt 2 GHZ Transitoires EN61000 4 4 Choc EN61000 4 5 4KV line earth 2002 95 CE RoHS RAS EC 400 RAS ECW 400 10 60 VDC RAS EC 230 RAS ECW 230 10 60 VDC RAS EC 260 RAS ECW 260 10 60 VDC RAS EC 261 RAS ECW 261 10 60 VDC RAS EC 220 RAS ECW 220 10 30 VDC Substances dangereuses Puissance absorb e T d utilisation 0 C 60 C Humidit 5 95 6W R seau cellulaire Type 4G 3G GPRS EDGE selon mod le Connecteur SMA femelle Antenne Type de la carte cellulaire CODE 3 LE LS LA HG 4G Europe USA Asie 3G Oui 1 Oui 1 Oui 1 Oui 2 GPRS EDGE Oui 3 Oui 3 Oui 3 Oui 3 1 850 900 1900 2100 MHz 2 850 900 1700 1900 2100 MHz 3 850 900 1800 1900 MHz R seau WiFi Type 2 4 et 5 GHz Connecteur Antenne R SMA femelle Normes de transmission 802 11 a b g n Liaison s rie D bit format 1200 115200 kb s parit N E O Raw client et serveur Modbus ma tre et esclave Multicast Telnet Unitelway Passerelle 1 port USB host USB Client PPP
89. d un VPN suppl mentaire vers un serveur VPN sur Internet pour des fonctions de supervision par exemple Envoi d un email sur fermeture ou ouverture de l entr e TOR bd Page 22 Manuel d utilisation 9022309 01 Routeur RAS PRESENTATION S curit Le r seau Usine et le r seau Machine sont s par s par le routeur RAS le firewall peut donc op rer Par d faut il est ferm aux changes l initiative d un quipement du r seau Usine et ouvert l initiative d un quipement du Machine vers le r seau Usine Cette situation peut tre modifi e dans le menu Pare feu Routeur RAS Manuel d utilisation 9022309 01 Page 23 PRESENTATION 5 2 Sc nario 2 La Machine appartient au r seau de l Usine Description Les quipements de la machine sont directement connect s au r seau Usine tous ces quipements forment un seul et m me r seau IP L acc s Internet s effectue au travers du r seau Usine Dans cette situation on connecte le routeur RAS au r seau par son port Ethernet LAN Factory M2Me Connect INTERNET Machine R gle de c blage Mod les Acc s l Internet Raccordement du routeur Raccordement de la machine concern s RAS l Internet Tous mod les R seau d usine ou Connecteur Ethernet LAN Les quipements de la machine d entreprise 1 4 selon mod le se raccordent au switch du connecter au switch du r seau Usine ou aux ports r seau d Usine Ethernet LAN du routeur RAS
90. de 1 heure 10 secondes 5 impulsions Un utilisateur distant est autoris tablir une connexion sans identificateur mot de passe d utilisateur distant La connexion distante doit intervenir dans un d lai de 10 mn L acc s est limit au serveur de configuration du routeur RAS Routeur RAS Manuel d utilisation 9022309 01 Page 35 INSTALLATION 1 3 Connecteurs Bornier 2 points Alimentation 1 C1 Point 1 l arri re Alimentation prot g e contre l inversion de polarit Broche Signal Fonction Alimentation 1 OV isol du ch ssis Bornier 2 points Alimentation 2 C2 Point 1 l arri re Alimentation prot g e contre l inversion de polarit Broche Sigal Fonction Alimentation 2 OV isol du ch ssis Bornier 4 points Entr e Sortie TOR C3 Point 1 l arri re Broche Signal Fonction O Et TOR O 2 So TOR Connecteur RJ45 Ethernet 1 4 C6 C9 Broche Signal Fonction O AN O ECH done boo OSO 6 f Rx R ception por TL one o O ooe do one booo OSO Connecteurs d antennes TONNES les connecteurs EN r seau cellulaire et WiFi sont diff rents _ R seau Tye oOo o Obsewation Cellulaire SMA femelle 2 antennes peuvent tre connect es pour am liorer la transmission 4G mod le LE WiFi RP SMA femelle 1 connecteur polarit invers e conforme l usage pour le raccordement des antennes WiFi Bornier 2 points RS485 C10 Broche gang Fonction
91. de ces deux codes uniquement Si l on choisit la valeur certificat num rique le PC distant est authentifi au moyen du certificat enregistr dans le PC distant Note Dans ce cas le nom du certificat du PC de l utilisateur devra tre enregistr dans le routeur ETIC dans la fiche de l utilisateur Param tres Valeur cl Saisir la valeur de la cl partag e qui authentifie l utilisateur distant Routeur RAS Manuel d utilisation 9022309 01 Page 101 PARAMETRAGE EXPERT 5 Portail s curis HTTPS pour smartphone tablette ou PC 5 1 Pr sentation Le portail s curis est une page web affich e par le routeur ETIC lorsqu un utilisateur distant se connecte au routeur au moyen d un simple navigateur en mode s curis HTTPS La page Portail affiche la liste des quipements accessibles l utilisateur selon ses droits d acc s Il suffit de cliquer sur l quipement souhait et les pages web du serveur web embarqu es dans cet quipement s affichent Conjugu e une alarme SMS ou email le portail web est particuli rement adapt la t l exploitation au moyen de smartphone e C Q 192 168 38 191 4433 e Web Portal 1P 192 168 38 191 Administration HTTPS login Device list Automate transfert 1P 192 168 38 12 Homepage FTP Automate filtrage 1P 192 168 38 10 Homepage HE HMI 1P 192 168 38 13 Homepage WER Automate pompage 1P 192 168 38 11 Homep
92. dresse IP Saisir l adresse IP attribu e l interface LAN du Routeur ETIC Param tre Masque de sous r seau netmask Saisir le netmask du r seau LAN Exemple Le netmask d un r seau de 254 stations est 255 255 255 0 Param tre Passerelle par d faut Si un autre routeur est raccord au r seau LAN et si ce routeur est le routeur par d faut du routeur ETIC saisir son adresse Cette adresse doit faire partie du domaine du r seau LAN Remarque Ne rien saisir si aucun autre routeur n est connect au r seau LAN Page 86 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 2 2 3 Param tres Acc s distant Case cocher Gestion automatique des adresses IP des utilisateurs distants Si cette case est coch e une adresse IP non utilis e du r seau LAN est attribu e au PC d un utilisateur distant lorsqu il se connecte Pour attribuer cette adresse le routeur ETIC v rifie au moyen de requ tes appropri es qu elle n est pas attribu e par ailleurs un quipement du r seau LAN D cocher la case pour fixer la plage des adresses du r seau LAN r serv e aux utilisateurs distants Remarque La plage doit comporter autant d adresses que l on souhaite d acc s simultan s Param tre D but de la plage d adresses IP Saisir l adresse IP du d but de la plage Param tre Fin de la plage d adresses IP Saisir l adresse IP de la fin de la plage 2
93. e IP virtuelle De cette mani re lorsqu un quipement du r seau transmet une requ te ARP le ma tre du groupe VRRP r pond toujours avec la m me adresse MAC L adresse MAC utilis e est une adresse pr vue cet effet 00 00 5E 00 01 XX le dernier octet tant le num ro du groupe VRRP cod en hexad cimal Page 126 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 12 Substitution d adr IP amp redirection de port Le routeur ETIC offre diff rentes fonction de substitution d adresses IP Ces fonctions consistent remplacer l adresse IP et le port source ou destination de certaines trames IP trait es par le routeur Les possibilit s offertes sont les suivantes 12 1 Translation d adresse NAT Cette fonction s applique aux trames IP issues d un quipement du r seau LAN et destin es au r seau WAN Elle consiste remplacer l adresse IP source celle de l quipement du LAN par l adresse IP WAN du routeur et effectuer l op ration inverse pour les trames de r ponse Cette fonction est utile lorsque les quipements du LAN doivent changer des trames avec l Internet Pour activer la fonction NAT e s lectionner le menu Configuration gt Interface WAN e Cocher la case Activer la translation d adresse NAT 12 2 Redirection par port 12 2 1 Principe La redirection de port consiste transf rer vers une machine d finie du r seau LAN un trafic adress au routeur ETIC sur son inter
94. e Machine Usine r seau d usine et le WAN Om Tous r seau machine INTERNET E ea mod les Factory E I e e Sau 2 R seau Le r seau d Usine et le Factory Usine r seau Machine Tous forment un seul et mod les m me r seau INTERNET Machine 3 R seau La machine est reli e T Cellulaire l Internet par le r seau M2Me_Connect Machine RAS EC cellulaire RAS ECW Ej 4 WiFi La machine est reli e T l Internet par le r seau M2Me_Connect Machine RAS EW WiFi disponible dans WA RAS ECW l Usine INTERNET R Factory 5 R seau La machine est reli e Usine l Internet par le r seau RAS EC et d Usine et par le r seau RAS ECW cellulaire cellulaire en secours 6 R seau La machine est reli e WiFi l Internet par le r seau RAS ECW et WiFi disponible dans cellulaire l Usine et par le r seau cellulaire en secours Routeur RAS Manuel d utilisation 9022309 01 Page 21 PRESENTATION 5 1 Sc nario 1 Le routeur RAS est plac entre le r seau Usine et la machine Description L acc s Internet s effectue au travers du r seau usine Le routeur RAS isole les quipements de la machine et ceux de l usine M2Me Connect INTERNET Machine R Mod les concern s Acc s l Internet Raccordement l Internet Raccordement machine Tous mod les R seau d usine ou Prise Ethernet WAN Prise Ethernet 1 4 d entreprise Liaison s rie
95. e choisir un chemin disponible parmi 2 il s lectionne prioritairement le r seau Usine ou d entreprise et s il n est pas disponible le r seau cellulaire R gle de c blage Mod les concern s Acc s l Internet Raccordement pour Raccordement machine l acc s l Internet RAS EC nesat Sinem Prise Ethernet WAN Prise Ethernet 2 4 d entreprise S S RAS ECW S H Liaison s rie R seau cellulaire Antenne cellulaire R gle de mise en service Les r gles sont d taill es au paragraphe installation du routeur WiFi R gles d attribution des adresses IP R gle Le domaine d adresses IP de la machine doit tre diff rent du domaine du r seau du PC distant Si ce n est pas le cas il faut utiliser l option Mapping machine propos e par l assistant Si cette option est s lectionn e et uniquement pour la connexion M2Me et VPN le routeur RAS renomme virtuellement le r seau machine pour se conformer la r gle 1 ci dessus Exemple R seau machine 192 168 1 0 R seau du PC distant 192 168 1 0 Le r seau machine est le m me que le r seau du PC distant l option Remapping doit tre s lectionn e et le r seau machine virtuellement renomm dans un domaine au choix 192 168 147 0 24 par exemple Page 32 Manuel d utilisation 9022309 01 Routeur RAS PRESENTATION Fonctions possibles T l maintenance M2Me k Droits d acc s individualis s des utilisateur
96. e de port ex 21 80 pour sp cifier FTP et HTTP Entrer un num ro sous la forme xx yy pour d signer une plage de port ex 80 00 pour d signer tous les ports entre 80 et 00 Champ Nouvelle destination Saisir une adresses P seule ex 192 168 10 1 ou une adresse IP et un port ex 192 168 10 1 8080 Saisir une adresse r seau ex 192 168 10 0 24 pour un mappage 1 1 Laisser le champ vide ou saisir 0 0 0 0 pour ne pas effectuer de translation Null NAT Active e Trame modifier Adresse IP source Adresse IP destination Protocole Tous Y Translation Nouvelle adresse IP destination Enregistrer Annuler Retour Pour cr er une r gle de substitution d adresse de destination DNAT e cliquer sur le bouton e Ajouter une r gle La fen tre de cr ation s affiche e S lectionner Oui pour rendre la r gle active e Saisir les crit res de substitution Adr IP source Adr IP destination Protocole TCP UDP Port source Port destination Q e Saisir la nouvelle destination des trames r pondant aux crit res d crits ci dessus Adr IP et port de destination Page 130 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT Pour cr er une r gle de substitution d adresse source SNAT e cliquer sur le bouton Ajouter La fen tre de cr ation d une r gle SNAT s affiche E C bh p 192 168 38 191 4433 cgi method get menu amp amp menu true amp ampilang fr Q
97. e de sous r seau Saisir l adresse IP du routeur RAS sur le r seau Machine el le masque du r seau Machine Liste de choix le r seau Machine est il identique au r seau IP du PC distant Si la r ponse est Non aucune saisie compl mentaire n est n cessaire Param tres Adresse IP dans laquelle translater le LAN Si la r ponse la question pr c dente est Oui il faut translater le r seau Machine Saisir l adresse translat e attribu e au r seau Machine on choisit pour le r seau Machine une adresse la fois diff rente du r seau du PC distant et du r seau Usine e Cliquer Suivant e La page Liste des quipements est affich e Cette page permet d enregistrer les quipements dont l acc s pourra ensuite tre autoris aux utilisateurs distants Si l acc s tous les quipements du r seau Machine doit tre autoris tous les utilisateurs il est inutile de d finir les quipements de la machine Si on souhaite filtrer l acc s distant aux quipements de la Machine cliquer le bouton e Ajouter pour d finir successivement les quipements de la machine auxquels on souhaite donner un acc s distant Param tres Nom Saisir le nom de l quipement de la Machine automate de pompage par exemple Routeur RAS Manuel d utilisation 9022309 01 Page 57 PARAMETRAGE AU MOYEN DE LU ASSISTANT Param tres Adresse IP Saisir l adresse IP de l quipement
98. e du routeur pour faciliter l coulement de la chaleur V lt K Pour d monter le produit du rail Din 35 mm Pousser l g rement vers le bas D gager le produit vers l avant 2 gt Le produit est pourvu de 2 entr es d alimentation permettant la connexion de deux sources d alimentation pouvant agir en secours Tune de l autre En cas de d faillance d une source l autre prend le relais RAS EC 400 RAS ECW 400 Tension minimum 9 V continu RAS EC 230 RAS ECW 230 Tension maximum 60 V continu RAS EC 260 RAS ECW 260 RAS EC 261 RAS ECW 261 RAS EC 220 RAS ECW 220 Tension minimum 9 V continu Tension maximum 30 V continu La consommation est de 7W Routeur RAS Manuel d utilisation 9022309 01 Page 43 INSTALLATION 4 Ventilation Le produit est con u pour tre fix sur un rail DIN 35 mm Pour viter tout chauffement en particulier lorsque la temp rature ambiante peut s lever dans l armoire lectrique on veillera m nager un espace de 1 cm de chaque c t du produit pour faciliter l coulement de la chaleur 5 Mise la terre Le bo tier est m tallique on veillera relier la cosse de mise la terre du bo tier situ e sur sa face inf rieure une terre de protection efficace 6 Connexions RJ45 Ethernet 10 100 Les interfaces Ethernet sont reconnaissance automatique du d bit 10 ou 100 Mb s et de croisement de circuits Pour connecter directement u
99. e liaison fiable 81 90 Cependant le d bit pourra tre diminu en cas d erreurs de transmission 1 flash R ception insuffisante Le routeur capte le r seau Le niveau de r ception est faible des d connexions plus ou moins fr quentes et des erreurs peuvent survenir Il faut am liorer la r ception 91 110 Eteint Pas de r ception Contr ler le connecteur d antenne et la pr sence de la carte SIM lt 111 Remarque On peut contr ler en permanence le niveau du signal de r ception au moyen du serveur html dans le menu Diagnostic gt Etat r seau gt Interface Page 48 Manuel d utilisation 9022309 01 Routeur RAS PREPARER LE PARAMETRAGE 1 Premi re configuration La premi re configuration s effectue au moyen d un navigateur HTML et en connectant le PC directement l un des connecteurs Ethernet de l interface LAN du produit A la livraison l adresse attribu e l interface LAN est 192 168 0 128 Etape 1 Cr er ou modifier la connexion TCP IP du PC Attribuer au PC une adresse IP diff rente mais coh rente avec l adresse IP usine du routeur comme par exemple l adresse 192 168 0 127 RAS Etape 2 Connecter le PC au routeur RAS Connecter le PC au routeur Etape 3 Lancer le navigateur HTML Ouvrir le navigateur et saisir l adresse IP du serveur d administration programm e en usine 192 168 0 128 ne pas faire pr c der l adresse de www La page d accueil du
100. e menu Configuration gt LAN gt Point d acc s WiFi d cocher la case Activer le point d acc s WiFi Page 154 Manuel d utilisation 9022309 01 Routeur RAS MAINTENANCE 3 Sauvegarde et chargement d un fichier de param tres Une fois un produit configur il est possible d enregistrer la configuration dans la m moire du routeur ou de la sauvegarder sous forme d un fichier ditable R ciproquement il est possible de charger une configuration parmi l ensemble des configurations enregistr es dans la m moire du produit ou bien de restaurer un fichier de configuration sauvegard dans un PC e S lectionner les menus Maintenance gt Gestion des configurations Le tableau qui enregistre la liste des configurations enregistr es dans la m moire du routeur s affiche Pour enregistrer la configuration courante dans la m moire du routeur e Face au champ Nom de la configuration attribuer un nom pour la configuration et cliquer le bouton Save La configuration s ajoute la liste dans le tableau des configurations sauvegard es Pour sauvegarder la configuration courante dans un fichier txt e commencer par enregistrer la configuration courante dans la m moire du routeur comme indiqu pr c demment e puis s lectionner dans la liste la configuration exporter et cliquer le bouton Exporter vers le PC Pour restaurer un fichier de param tres txt sauvegard e Cliquer le bouton choisi
101. egistrements Le renouvellement p riodique de la cl renforce la s curit Param tres Groupe DH uniquement si la case PFS a t coch e Groupe utilis lors de l change de clefs Diffie Hellman DH Le DH est l tape 2 de la phase 1 et permet aux pairs de se mettre d accord sur un secret partag Le DH a besoin qu un groupe au sens structure alg brique soit d fini et identique sur les pairs pour fonctionner Plus le groupe est grand plus la s curit est lev e au d triment du temps d tablissement du VPN Recommand groupe 2 La m me valeur doit tre choisie dans les 2 routeurs participant au VPN Param tres Life time uniquement si la case PFS a t coch e Saisir la dur e de vie de la cl de la phase 2 Paragraphe DPD time out Param tre P riode des messages DPD Keepalives Le VPN est entretenu p riodiquement par chaque routeur pour ce faire et en l absence de donn es mettre chaque routeur transmet une trame de maintien du VPN Ce param tre fixe la p riode d envoi de la trame de maintien du VPN par le routeur Param tre D lai de d tection de perte de connexion Ce param tre fixe le d lai maximum d attente d un message Keep alive Une fois ce d lai chu et en l absence de r ception du message Keep alive le routeur coupe le VPN Page 112 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 9 Interconnexion de routeurs a
102. ements de la machine et pas d autres quipements Attention Le r seau IP Usine et le r seau Machine sont confondus en cons quence les changes entre les quipements de la machine et de l usine ne peuvent tre filtr s par le firewall du routeur RAS Routeur RAS Manuel d utilisation 9022309 01 Page 25 PRESENTATION 5 3 Sc nario 3 Utilisation du r seau cellulaire 4G 3G GPRS Description L acc s Internet s effectue au travers du r seau cellulaire M2Me_Connect R gle de c blage Mod les concern s Acc s l Internet Raccordement pour Raccordement de la l acc s l Internet machine RAS EC R seau cellulaire Prise Ethernet LAN Prise Ethernet LAN 1 4 RAS ECW Selon mod le Liaison s rie R gle de mise en service Les r gles sont d taill es au paragraphe installation du routeur cellulaire Choix de la carte SIM contr le de la r ception choix et disposition de l antenne R gles d attribution des adresses IP R gle 1 Le domaine d adresses IP de la machine doit tre diff rent du domaine du r seau du PC distant Si ce n est pas le cas il faut utiliser l option Mapping machine propos e par l assistant Si cette option est s lectionn e et uniquement pour la connexion M2Me et VPN le routeur RAS renomme virtuellement le r seau machine pour se conformer la r gle 1 ci dessus Exemple 1 R seau machine 192 168 1 0 R seau du PC distant 192 168 1 0 Le r seau machine
103. emple entre la machine RL1 et la machine L1 du sch ma ci dessus En effet par d faut le firewall autorise le transfert entre les deux r seaux si un VPN relie les routeurs Par contre par d faut les paquets IP mis par la machine W1 depuis l internet sont bloqu s par le firewall Routeur RAS Manuel d utilisation 9022309 01 Page 121 PARAMETRAGE EXPERT 10 2 Route statique Apr s avoir configur ses adresses LAN et WAN et d fini la connexion VPN le routeur R2 voir sch ma ci dessus peut router les trames entre le r seau LAN et le WAN et inversement ainsi qu entre le LAN et le r seau Remote LAN et inversement au travers du VPN Mais il ne peut pas router des trames entre le LAN et un r seau connect au r seau LAN distant r seau 6 du sch ma ci dessous La raison de cette difficult est que le r seau 6 n est pas connu du routeur R2 La d claration de routes statiques permet de r soudre ce probl me Une route statique associe l adresse d un routeur voisin une adresse IP de r seau de destination adr R seau adr de base netmask 192 168 1 24 192 168 6 24 92 168 1 2 R4 router Internet Internet R1 router IP addr IP addr 192 168 2 128 192 168 5 1 w CZ eege j Internet R3 router R2 router 192 168 5 128 On d crit ci dessous les routes statiques qui doivent tre enregistr es dans le routeur R2 pour que tous les quipements de chacun des r seaux puissent changer des paquets IP
104. ermet l interface Ethernet du Routeur ETIC de recevoir une adresse IP publique de l Internet ce qui peut tre utile lorsque l on utilise IPSec par exemple ou que l on souhaite mettre en uvre des fonctions de redirection de port Ne pas s lectionner cette case sauf dans le cas tr s particulier d crit ci dessus Page 78 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT Ethernet Ethernet et PPPoE Param tre priorit du WAN Ethernet valeur 0 100 bw Saisir la valeur 10 Param tres PPP login et mot de passe PPP bw Saisir l identificateur et le mot de passe du compte Internet Case cocher Obtenir une adresse IP automatiquement bd Cocher cette case si l adresse IP de la ligne est attribu e par l op rateur travers la ligne Autrement d cocher cette case et saisir l adresse IP attribu e au Routeur ETIC ainsi que celle du serveur distant Case cocher Obtenir les adresses des serveurs bd DNS automatiquement Cocher cette case si l adresse des serveurs DNS est attribu e par l op rateur travers la ligne Autrement d cocher cette case et saisir l adresse IP des serveurs DNS primaires et secondaires Case cocher Translation d adresse NAT bd Cocher cette case pour que le Routeur ETIC substitue son adresse IP publique l adresse IP source de l quipement du r seau LAN lors d une transaction vers l Internet
105. erture de l entr e TOR bd S curit A distance l utilisateur ne peut acc der ou aux quipements explicitement enregistr s dans le firewall au moment de la configuration Routeur RAS Manuel d utilisation 9022309 01 Page 29 PRESENTATION 5 5 Sc nario 5 Utilisation du r seau Usine et du r seau cellulaire en secours Description Il arrive fr quemment que l utilisation du r seau Usine pour acc der l internet ne soit pas imm diatement ou facilement disponible c est la raison pour laquelle le routeur RAS permet de choisir un chemin disponible parmi 2 il s lectionne prioritairement le r seau Usine et s il n est pas disponible le r seau cellulaire D ren 1 R gle de c blage Mod les concern s Acc s l Internet Raccordement pour Raccordement machine l acc s l Internet R seau Usine ou f Prise Ethernet LAN 1 4 RAS EC Prise Ethernet WAN SE j d entreprise Selon mod le RAS ECW SC a R seau cellulaire Antenne cellulaire Liaison s rie R gle de mise en service Les r gles sont d taill es au paragraphe installation du routeur cellulaire R gles d attribution des adresses IP R gle 1 Le domaine d adresses IP de la machine doit tre diff rent du domaine du r seau du PC distant R gle 2 Le domaine d adr IP de la machine doit tre diff rent du domaine du r seau d usine Si ce n est pas le cas il faut adapter le domaine du r seau machine ou bien utiliser l opti
106. es A b Syst me Afficher Modifier Supprimer Ajouter Copier et modifier lt gt Diagnostics Maintenance Connexions OpenVPN sortantes jo D finissez les connexions VPN sortantes IL aen w Nom Adresse IP du serveur VPN Num ro de port Protocole Afficher Modifier Supprimer Ajouter Copier et modifier Is Enregistrer Annuler e EE Lee Routeur RAS Manuel d utilisation 9022309 01 Page 113 PARAMETRAGE EXPERT 9 1 1 Etapes de la configuration Le param trage des connexions VPN s effectue en 2 tapes Etape 1 Configuration du protocole VPN lui m me Etape 2 Configuration des connexions VPNs Le routeur qui initie la connexion VPN tablit une connexion sortante vers le routeur serveur VPN qui accepte une connexion entrante IP network Cl SR Le routeur initie la connexion VPN Le routeur accepte la connexion VPN Pour ce routeur la connexion est sortante Pour ce routeur la connexion est entrante Ce routeur est le client VPN Ce routeur est le serveur VPN 9 1 2 Authentification L extrait du certificat de chaque routeur client VPN doit tre enregistr dans le routeur serveur VPN Lorsqu il initie la connexion VPN le routeur client VPN s authentifie aupr s du serveur en pr sentant son propre certificat 9 1 3 Contraintes de param trage Les param tres de N de port et de protocole de transport UDP ou TCP doivent tre identiques dans le serv
107. es quipements e Cliquer Suivant et appliquer la configuration Page 62 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE AU MOYEN DE LU ASSISTANT 3 Configuration du routeur RAS selon le sc nario 3 La machine est reli e l Internet par le r seau cellulaire Sc nario Mod le Acc s l Internet Raccordement Sch ma du routeur RAS vers l Internet M2Me_Connect RAS EC 5 3 A Len R seau cellulaire Antenne GS ETAPE 1 CHOIX DU SCENARIO e Cliquer le bandeau assistant de configuration et s lectionner le sc nario 3 ETAPE 2 CONNEXION M2Me La page Connexion au r seau cellulaire est affich e Param tre APN Saisir le libell du point d acc s entre le r seau cellulaire et l Internet Exemple Websfr ou orange business Param tre Code PIN Saisir le code PIN de la carte SIM e Cliquer Suivant ETAPE 3 RESEAU MACHINE La page interface machine LAN est affich e Remarques L adresse IP du r seau Machine doit tre diff rente de l adresse du r seau du PC distant Si ce n est pas le cas il n est pas n cessaire de modifier l adresse des quipements de la machine on peut utiliser l option de translation d crite plus bas Exemples R seau R seau du PC Machine distant OK 192 168 12 0 192 168 10 0 il faut translater virtuellement l adresse du r seau 192 168 10 0 192
108. es 2 porte cartes la puce de la carte SIM doit tre face au circuit imprim g voir sch ma Pousser la carte jusqu ce qu elle se verrouille Connecteur Antenne Routeur RAS Manuel d utilisation 9022309 01 Page 47 INSTALLATION Extraction de la carte SIM Placer le routeur hors tension D gager la trappe situ e sur la face sup rieure Appuyer sur la carte SIM pour la d verrouiller elle remonte de quelques millim tres afin de faciliter son extraction 10 6 Contr le de la conformit de la connexion Apr s installation il est conseill de v rifier la conformit du fonctionnement de la liaison avec le r seau cellulaire en transmettant des pings vers un serveur Il faut v rifier qu aucun ping n est perdu et que le temps de r ponse est satisfaisant Si la connexion n est pas conforme il faut imp rativement am liorer les conditions de r ception pour rendre la connexion fiable soit en modifiant le type ou la position de l antenne soit en s lectionnant un autre r seau 3G voire GPRS par exemple au lieu de 4G La conformit de la liaison se mesure au moyen des param tres suivants lla Voyant de r ception du signal cellulaire Description Etat Niveau de r ception dBm 3 flashs Bonne r ception N Le routeur capte le r seau le niveau de r ception est bon 50 80 2 flashs R ception suffisante Le routeur capte le r seau le niveau de r ception est suffisant pour assurer un
109. et 62 10 10 7 Su PLC1 192 168 0 15 H TCP 102 PLC2 192 168 0 16 Wi cp 502 Su BC 192 168 0 17 TCP 80 SE 62 10 10 7 ke I TCP 102 E Lorsque le PC W1 doit adresser une trame l quipement PLC1 du r seau LAN il l adresse l adresse IP WAN du routeur ETIC 62 10 10 7 dans notre exemple et sur le port 102 par exemple Le routeur analyse la trame modifie l adresse IP de destination et ventuellement le N de port puis route la trame vers le r seau LAN Port destination Redirection Service Device Service 102 192 168 0 15 102 502 192 168 0 16 502 80 192 168 0 17 80 Note Les trames IP redirig es sont transf r es directement l quipement choisi sans passer par le filtre principal du firewall 12 2 2 Configuration Pour programmer une r gle de redirection de port e S lectionner le menu Configuration gt R seau Routage et Redirection de port e Saisir les caract ristiques des trames qui doivent tre redirig es N de port de destination protocole de transport TCP UDP adresse IP source optionnelle e Saisir les caract ristiques des trames modifi es Adresse IP et N de port de destination et protocole de transport TCP UDP Page 128 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 12 3 Substitution g n ralis e d adresses IP NAT avanc 12 3 1 Principe La fonction de substitution d
110. ette interface le masque de sous r seau et l adresse IP de la passerelle par d faut Case cocher Obtenir les adresses des serveurs DNS automatiquement Cocher cette case si l adresse des serveurs DNS est attribu e par le point d acc s WiFi Autrement d cocher cette case et saisir l adresse IP des serveurs DNS primaires et secondaires Case cocher Translation d adresse NAT Cocher cette case pour que le routeur ETIC substitue l adresse IP qui lui a t attribu e sur le r seau WiFI l adresse IP source de l quipement du r seau LAN lors des transactions sur le r seau WiFi Remarque Le scanner WiFi du routeur ETIC permet d identifier les r seaux WiFi d tect s par le Routeur ETIC Pour utiliser le scanner WiFi s lectionner le menu Diagnostic gt Outils gt Scan WiFi Voir le chapitre Diagnostic de la pr sente notice Page 84 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 2 Interface LAN S lectionner le menu Configuration gt Interface LAN 2 1 Principes de configuration Switch Ethernet L interface LAN est constitu e de 2 ou 4 prises Ethernet switch es Cette interface est d sign e par interface LAN dans la suite du texte et le r seau qui y est directement raccord est appel r seau LAN Les ports Ethernet peuvent tre param tr s pour former un hub au lieu d un switch Adresse IP du routeur sur l interface LAN Une adresse IP fixe doit tre at
111. eur d mettre une alarme par e mail ou bien de commander la connexion du routeur l Internet Par ailleurs le menu du menu Contr le des E S du routeur d administration permet de visualiser l tat de l entr et de t l commander la sortie Page 45 INSTALLATION 10 Raccordement au r seau cellulaire 10 1 Contr les avant installation Autorisation d utilisation On v rifiera aupr s de la personne habilit e que l utilisation d un routeur cellulaire est autoris e Contr le pr alable du niveau de r ception au moyen des cartes de couverture des op rateurs Les cartes de couverture de r seau publi es par les op rateurs sur l Internet permettent de v rifier grossi rement la disponibilit du service sur le lieu o l installation du routeur est envisag e La consultation des cartes de couverture permet de choisir l op rateur t l com le plus adapt Contr le de la r ception sur site Si la r ception semble possible apr s avoir consult la carte de couverture il est utile de confirmer la faisabilit sur le site lui m me Le contr le doit tre effectu l emplacement o il est pr vu d installer le routeur tout particuli rement dans le cas o il doit tre install l int rieur d un b timent Le contr le doit tre effectu en utilisant le m me op rateur de r seau cellulaire que celui qui est pr vu pour le routeur Une bonne solution si le routeur n a pas encore t command ou
112. eur VPN et dans tous les clients Les valeurs des param tres de chiffrement Blowfish AES 256 AES192 AES128 3DES et d authentification MD5 SHAT doivent tre identiques dans le serveur VPN et dans tous les clients Le r seau LAN et le r seau LAN distant doivent tre diff rents Par exemple R seau LAN 192 168 1 0 netmask 255 255 255 0 R seau LAN distant 192 168 2 0 netmask 255 255 255 0 Adr IP du r seau VPN 172 16 0 0 par d faut Adr IP Adr IP Adr IP Adr IP LAN WAN WAN distant LAN distant Routeur en cours de configuration Serveur VPN Page 114 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 9 2 Param trage du serveur OpenVPN e Dans le tableau Serveur VPN s lectionner le bouton e Ajouter Di Param tres Num ro de port et protocole On choisira de pr f rence le protocole UDP plut t que TCP pour une meilleure efficacit Attention i Le num ro de port utilis pour l interconnexion de routeurs par VPN doit tre diff rent du N de port utilis pour les connexions d utilisateurs distants Param tres Adresse r seau VPN et masque r seau VPN Le tunnel VPN une fois tabli est quivalent une liaison par c ble Ethernet Chaque extr mit du tunnel doit avoir une adresse IP Il s agit d une adresse IP appartenant un r seau priv et n cessaire pour le fonctionnement du tunnel mais non visible pour les application
113. face WAN Elle s applique aux trames adress es au routeur ETIC sur l interface WAN Le crit re de redirection est le N du port utilis le m canisme consiste utiliser le N de port de destination comme un compl ment d adresse IP Une trame IP adress e sur l interface WAN au routeur ETIC sur le port d termin P1 ou un ensemble de ports peut tre redirig e vers un quipement d termin du r seau LAN Le m canisme de redirection de port d crit ci dessus permet de r soudre le cas o un quipement appartenant au r seau WAN veut changer des trames IP avec une ou des quipements du r seau LAN alors que les adresses du r seau LAN ne peuvent tre transport es dans le r seau WAN La vraie solution ce probl me est d tablir un VPN mais lorsque ce n est pas possible la redirection de port apporte la solution Exemple Consid rons un r seau 1 et un r seau 2 connect s par un routeur ETIC selon le sch ma ci dessous Supposons 1 que le PC W1 du r seau WAN ait changer des trames avec l quipement PLC1 du r seau LAN 2 que les adresses du r seau LAN ne puissent pas circuler sur le r seau WAN quelle que soit la raison Routeur RAS Manuel d utilisation 9022309 01 Page 127 PARAMETRAGE EXPERT La solution la plus performante serait d tablir un VPN qui assurerait la fois la transparence et la s curit si ce n est pas possible on peut proc der comme suit adr IP Intern
114. face WAN Internet vers une adresse IP particuli re de l interface LAN sur le crit re de N de port n est pas soumise au filtre principal Page 134 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT e Les filtres d Utilisateur distant Ils permettent d autoriser ou d interdire l acc s chaque quipement connect l interface LAN en fonction de l identit de l utilisateur distant Login et mot de passe et ventuellement certificat lorsqu il se connecte au moyen de la connexion distante PPTP OpenVPN ou L2TP IPSec Par exemple on peut attribuer l utilisateur de login admin et de mot de passe admin un filtre bloquant toutes les trames issues de son PC sauf celle qui sont adress es un quipement particulier de l interface LAN Note La configuration de ce filtre est r alis e dans le menu Configuration gt Acc s distant gt Droits d acc s e Le filtre de d ni de Service Le filtre de d ni de service DoS prot ge les quipements de l interface LAN contre les attaques par saturation pouvant provenir de l interface WAN Ping de la mort SYN flood Ce filtre est pr d fini et n est pas configurable par l utilisateur Il toujours op rationnel sur l interface WAN 14 2 Filtre principal 14 2 1 Pr sentation e Organisation Le filtre principal comporte deux parties La premi re partie est intitul e R gles pour le trafic WAN Elle a pour but de d finir le filtrage
115. ffecter des droits chaque utilisateur distant Chaque ligne du tableau d finit un utilisateur et l quipement auquel il peut acc der adr IP et service Pour ajouter un nouveau droit un utilisateur cliquer le bouton Ajouter s lectionner un utilsateur dans la liste et l quipement auquel on lui donne acc s Pour donner l utilisateur l acc s tous les quipements du r seau Machine s lectionner la valeur Tous les quipements e Cliquer Suivant et appliquer la configuration Routeur RAS Manuel d utilisation 9022309 01 Page 75 PARAMETRAGE EXPERT L assistant a pour objet principal de faciliter la connexion du routeur RAS l Internet Le mode de param trage Expert permet de mettre en oeuvre aussi bien les fonctions de base facilit es par l assistant que les fonctions compl mentaires si n cessaire Configurer la connexion l Internet Interface WAN Ethernet WAN Cellulaire WiFi Configurer l interface LAN Interface LAN L adresse IP du routeur sur l interface LAN Les adresses IP des quipements de la machines Configurer l acc s distant Acc s distant La connexion M2Me Les utilisateurs distants Leurs droits d acc s Configurer les ventuelles fonctions de routage R seau VPN avec d autres routeurs Translation d adresse Redirection de port DynDNS ou NolP Filtrer les changes entre le r seau Usine et la machine S curit gt Pare feu Configurer
116. ges suivants e Identification des utilisateurs distants L utilisateur distant est identifi au moyen d un identificateur et d un mot de passe ou bien encore d un certificat L utilisateur n est autoris que s il a t enregistr dans la liste d utilisateurs e Connexion transparente S il y est autoris par ses droits d acc s l utilisateur peut acc der chaque quipement du r seau distant e Attribution automatique d une adresse IP du r seau Le PC de l utilisateur distant est t l port sur le r seau local Une fois identifi son PC re oit automatiquement une adresse IP du r seau local Aucune intervention n est n cessaire dans le PC de l utilisateur distant e Cryptage des changes Les connexions distantes permettent de crypter les changes pour assurer la confidentialit Routeur RAS Manuel d utilisation 9022309 01 Page 97 PARAMETRAGE EXPERT 4 2 Types de connexions distantes Quatre types de VPN sont propos s OpenVPN PPTP et L2TP IPSec et HTTPS Les quatre types de connexion peuvent co exister Pour param trer une connexion distante e S lectionner le menu Configuration gt Acc s distant gt moyen d acc s e C amp h pS 192 168 38 191 4433 cgi method get_ menu amp amp menu true amp amp lang fr IPL A 400 Accueil gt Accueil gt Configuration gt Acc s distant gt Moyens d acc s Y Configuration Interface WAN gt interface LAN Proxy HTTPS Acc s distant Liste des utilisateurs
117. ilisateur l acc s tous les quipements du r seau Machine s lectionner la valeur Tous les quipements e Cliquer Suivant et appliquer la configuration Page 68 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE AU MOYEN DE LU ASSISTANT 5 Configuration du routeur RAS selon le sc nario 5 Le routeur RAS est connect un r seau d usine ou d entreprise par son interface Ethernet WAN et au r seau cellulaire en secours Sc nario Mod le Acc s l Internet Interface vers l Internet R seau Usine Ethernet WAN RAS EC RAS ECW R seau cellulaire Antenne en secours cellulaire ETAPE 1 CHOIX DU SCENARIO e Cliquer le bandeau assistant de configuration et s lectionner le sc nario 5 ETAPE 2 CONNEXION M2Me La page Interface Ethernet WAN principal est affich e Case cocher Obtenir une adresse IP automatiquement Laisser cette case non s lectionn e si l adresse IP du routeur RAS sur le r seau WAN est attribu e automatiquement Autrement cocher cette case et saisir l adresse IP attribu e au routeur RAS sur le r seau WAN et le masque de ce r seau l adresse IP de la passerelle par d faut sur ce r seau Case cocher Obtenir les adresses des serveurs DNS automatiquement Laisser cette case non s lectionn e si l adresse des serveurs DNS est attribu e automatiquement Autrement cocher cette case et saisir l adresse IP des ser
118. ipement de la machine La connexion M2Me_Connect projette le PC distant sur le r seau de la machine le PC distant peut acc der chacun des quipements comme s il tait directement connect au r seau de la machine Machine Ethernet ou liaison s rie Le routeur RAS permet le raccordement d une machine constitu e autour d Ethernet ou d une liaison s rie Simplicit de mise en uvre du routeur RAS Il suffit de se laisser guider par l assistant int gr au serveur html de configuration du routeur RAS Simplicit d utilisation Le logiciel M2Me se pr sente comme l annuaire des machines un clic suffit pour tablir la connexion S curit du r seau du client r seau usine ou r seau WAN Le routeur RAS emp che la connexion de l utilisateur distant au r seau IP Usine Seuls les quipements de la machine sont accessibles Les changes entre les quipements du r seau Usine et du r seau machine sont possibles pour autoriser ces changes il faut r gler le firewall Protection de l acc s la machine Pour pouvoir acc der la machine un utilisateur distant doit tre enregistr dans la liste d utilisateurs du routeur RAS Un utilisateur distant est identifi par un code Identificateur et un mot de passe La s curit peut tre renforc e en exigeant la pr sentation du certificat install sur le PC distant Une fois l utilisateur distant identifi et authentifi des droits d acc s peuvent lui tre attri
119. ison s rie RS232 ou RS485 et capable de poser une question Modbus un autre quipement du r seau qui est appel esclave MODBUS Adresse Modbus Elle code entre 0 et 255 le destinataire d une requ te modbus adress e un serveur modbus r seau IP ou un esclave modbus liaison s rie Attention Ne pas confondre adresse modbus et adresse IP Pour plus de concision le mot adresse est souvent remplac par le signe dans la suite du texte 15 2 2 Choix de la passerelle Client ou de la passerelle Serveur e Pour connecter des quipements s rie esclaves modbus un ou plusieurs quipements TCP modbus client s lectionner le menu passerelle Modbus serveur e Pour connecter un quipement s rie ma tre modbus un ou plusieurs quipements TCP modbus serveur s lectionner le menu passerelle Modbus client 15 2 3 Affectation d une passerelle modbus un port s rie La passerelle modbus client respectivement serveur peut tre affect e au port s rie COM ou au port s rie COM2 Si l on veut affecter la passerelle s rie Modbus client respectivement modbus serveur aux ports COMI et COM la fois deux num ros de ports TCP diff rents doivent tre param tr s La passerelle modbus client peut tre affect e un port s rie COM1 par ex tandis que la passerelle Modbus serveur est affect e l autre port s rie COM2 par ex Routeur RAS Manuel d utilisation 9022309 01 Page 139
120. iste d utilisateurs La page d accueil du portail HTTPS s affiche elle n affiche que les quipements autoris s l utilisateur Routeur RAS Manuel d utilisation 9022309 01 Page 103 PARAMETRAGE EXPERT 6 Enregistrer les utilisateurs distants autoris s 6 1 Pr sentation La liste d utilisateurs du routeur ETIC enregistre l identit de chaque utilisateur distant autoris se connecter ainsi que ses param tres email et ses droits d acc s aux machines du r seau local d finis dans le firewall Pour acc der la liste d utilisateurs e S lectionner le menu Configuration gt Acc s distant gt Liste d utilisateurs z gt C EEN 168 38 191 4433 cgi method get AS menu true amp amp ang fr ms IPL A 400 WER gt Accueil gt Configuration gt Acc s distant gt Liste des utilisateurs Y Configuration Interface WAN s 2 e D Interface LAN Liste des certificats autoris s Acc s distant Actif CN autoris s Liste des utilisateurs Afficher Modifier Supprimer Ajouter Copier et modifier A v Sil u Droits d acc s Moyens d acc s v R seau Liste des utilisateurs gt Connexions VPN Actif Nom complet Addresse E mail Entreprise Num ro de t l p Routage Deene z Oui Martin a EEEE com ETIC TELECOM GE m ES simon simon etitelecom com ETIC TELECOM 067368740 NAT avanc DynDNS Oui Jane jane etictelecom com ETIC TELECOM Qos DiffServ Afficher Modifier Supprimer
121. lant de 192 168 38 8 192 168 38 15 Page 90 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 2 5 Menu Point d acc s WiFi L interface WiFi optionnel peut tre configur comme point d acc s ou bien comme client WiFi Ce menu permet de configurer l interface WiFi lorsqu il est utilis en point d acc s Pour configurer l interface WiFi en point d acc s e S lectionner le menu Configuration gt Interface LAN gt Point d acc s WiFi e Cocher la case Activer le point d acc s WiFi Param tre Nom de r seau WiFi SSID Saisir un libell libre qui d signe le r seau WiFi Param tre Cl partag e WPA Saisir la cl WPA du r seau elle doit comporter au moins 8 caract res Remarque Cette cl doit galement tre saisie dans les quipements WiFi raccord s au point d acc s Param tre Code Pays l interface WiFi du routeur ETIC peut tre utilis dans diff rents pays Cependant les canaux WiFi autoris s peuvent tre diff rents d un pays un autre C est pour cette raison qu il est imp ratif d indiquer le pays dans lequel est utilis le routeur ETIC Saisir le code du pays selon la syntaxe fournie dans l aide de la page html Param tre Modes Les canaux radio fr quences utilis s associ s la technologie de transmission forment les modes de fonctionnement du r seau WiFi Trois modes de fonctionnement sont propos s Mode 802 11a
122. liquer le bouton Ajouter s lectionner un utilsateur dans la liste et l quipement auquel on lui donne acc s Pour donner l utilisateur l acc s tous les quipements du r seau Machine s lectionner la valeur Tous les quipements e Cliquer Suivant et appliquer la configuration Routeur RAS Manuel d utilisation 9022309 01 Page 71 PARAMETRAGE AU MOYEN DE LU ASSISTANT 6 Configuration du routeur RAS selon le sc nario 6 Le routeur RAS est connect l internet par un r seau Wifi et galement par le r seau cellulaire en secours Sc nario Mod le Acc s l Internet Interface Sch ma vers l Internet WiFi R seau WiFi 6 RAS ECW R seau cellulaire en secours Antenne cellulaire ETAPE 1 CHOIX DU SCENARIO e Cliquer le bandeau assistant de configuration et s lectionner le sc nario 6 ETAPE 2 CONNEXION M2Me La page connexion au r seau WiFi WAN principal est affich e Case cocher Obtenir une adresse IP automatiquement Laisser cette case non s lectionn e si l adresse IP du routeur RAS sur le r seau WAN est attribu e automatiquement Autrement cocher cette case et saisir l adresse IP attribu e au routeur RAS sur le r seau WAN et le masque de ce r seau l adresse IP de la passerelle par d faut sur ce r seau Case cocher Obtenir les adresses des serveurs DNS automatiquement Laisser cette case non s lectionn e si
123. livr est de r aliser le test au moyen d un smartphone les menus param tres ou diagnostic de tous les smartphones permettent d afficher le niveau de r ception Il est galement possible d utiliser le routeur RAS pour mesurer le niveau de r ception le voyant de niveau de champ et le menu diagnostic permettent d afficher le niveau de r ception 10 2 Antenne L antenne est fournie s par ment Nous proposons un catalogue d antennes permettant les installations dans les cas les plus vari s Antenne magn tique ANT211 Antenne de travers e de cloison fixer sur le dessus d une armoire ANT210 Antenne disque plan de masse int gr ANT214 Antenne directive conseill e uniquement lorsque le niveau de r ception est m diocre Antenne m t pour installation sur le toit d un b timent ou contre un mur Page 46 Manuel d utilisation 9022309 01 Routeur RAS INSTALLATION 10 3 D port de l antenne L antenne peut tre d port e cependant le c ble coaxial absorbe le signal re u ou mis Si l on utilise un c ble de diam tre 6 mm le niveau de r ception du signal est diminu de 0 4 dB par m tre soit 4 dB environ tous les 10 m tres Pour obtenir le niveau de r ception effectif on retranche la perte dans le c ble du niveau de r ception affich par le smartphone on veillera ce que le rallonge ne d grade pas le signal en dessous de la valeur minimale requise pour une connexion fiable 90
124. m tre permet de d terminer le ou les changements d tat qui provoquent l alarme Passage l tat ferm de l entr e TOR Passage l tat ouvert de l entr e TOR Passage l tat ferm ou ouvert de l entr e TOR VPN connect ou d connect Param tre Adresse d exp dition de l alarme Entrer l adresse mail d exp dition de l alarme Param tre Adresse du destinataire de l alarme Entrer l adresse mail du destinataire du mail ou bien le N du t l phone mobile s il s agit d un SMS Param tre Objet Entrer l objet du mail par exemple Alarme site de Grenoble Param tre Texte envoyer Entrer le texte du mail de l email ou du SMS d alarme Paragraphe Serveur SMTP Param tre Utiliser le service M2Me pour envoyer les emails ETIC TELECOM entretient un serveur SMTP mails sortants qui peut tre utilis par les routeurs ETIC Ce service permet aux routeurs ETIC d envoyer des mails sans configuration sp cifique Cocher cette case pour envoyer des mails sans autre configuration du routeur autrement saisir le nom du serveur SMTP utiliser ainsi que le N de port et le choix du niveau de s curit Page 150 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 17 2 Alarmes SNMP Le routeur dispose d un agent SNMP qui supporte la MIB II standard et l envoi de TRAP sous certaines conditions Pour enregistrer les param tres de fonctionnement d
125. me du certificat actif du routeur Si l on utilise le certificat enregistr en usine dans le routeur il s agit du champ Email Param tre SubjectAlt name distant Entrez la valeur du champ SubjectAltName du certificat actif du routeur distant Pour les certificats ETIC il s agit du champ Email Paragraphe authentification Cas du choix cl partag e Param tre Cl Saisir la valeur de la cl partag e n cessaire pour l authentification du routeur la cl comme son nom l indique est identique sur les deux routeurs participant au VPN Param tre IKE ID local Nom utilis par le produit pour s identifier pendant la phase 1 Il est n cessaire de le remplir si on utilise une cl partag e et dans le cas o un des routeurs ETIC est lui m me plac derri re un autre routeur qui translate les adresses source fonction NAT Page 110 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT Param tre IKE ID distant Nom utilis par le produit pour identifier son pair pendant la phase 1 Il est n cessaire de le remplir si on utilise une cl partag e et dans le cas o un des routeurs ETIC est lui m me plac derri re un autre routeur qui translate les adresses source fonction NAT Paragraphe R seau Param tres Adresse du r seau LAN distant et Netmask distant Saisir l adresse et le netmask du r seau distant exemple 192 168 2 0 et 255 255 255 0
126. met un PC sur le r seau IP et quip d un logiciel client Telnet de se connecter un quipement serveur Telnet raccord la liaison s rie Le d bit et le format de la liaison s rie peuvent tre pilot s selon la recommandation RFC2217 Page 138 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 15 2 Passerelle Modbus La passerelle Modbus permet de connecter des quipements s rie RS232 RS485 esclaves ou ma tre un ou plusieurs quipements modbus TCP clients ou serveurs selon le cas connect s au r seau IP 15 2 1 D finitions Un client TCP MODBUS est un quipement connect au r seau IP et capable de transmettre une requ te Modbus question par ex demande de lecture ou d criture un autre quipement du r seau appel serveur TCP MODBUS qui lui r pondra Le client est l quivalant d un ma tre Modbus mais plusieurs clients peuvent poser des questions au m me serveur Un serveur TCP MODBUS est un quipement connect au r seau IP et capable de r pondre une requ te Modbus pos e par un autre quipement du r seau appel client TCP MODBUS Le serveur est l quivalant d un esclave Modbus mais un serveur peut r pondre plusieurs clients Un ma tre Modbus est un quipement connect la liaison s rie RS232 ou RS485 et capable de poser une requ te Modbus un autre quipement du r seau appel esclave MODBUS Un esclave Modbus est un quipement connect la lia
127. n e Authentification L authentification r ciproque des deux routeurs participants la connexion peut tre r alis e au moyen d une cl partag e ou de certificats Utilisation d une cl partag e La cl partag e est un code secret identique enregistr dans les deux routeurs participant la connexion La cl partag e doit tre produite r ciproquement par les routeurs pour authentifier l autre partie On ne peut enregistrer qu une seule cl partag e dans un routeur elle est commune tous les VPNs IPSec tablis par le routeur et aussi la connexion d utilisateur distant L2TP IPSec Utilisation de certificats Les certificats peuvent tre utilis s en alternative un cl partag e Dans ce cas chaque routeur ETIC s authentifie au moyen de son certificat Un certificat X509 est enregistr en usine dans chaque routeur ETIC Il est produit par l autorit de certification enregistr e par ETIC TELECOM Si n cessaire il est possible d enregistrer d autres types de certificat dans le routeur voir paragraphe enregistrement de certificats Les certificats utilis s par les deux routeurs participant au VPN IPSec doivent tre d livr s par la m me autorit Routeur RAS Manuel d utilisation 9022309 01 Page 107 PARAMETRAGE EXPERT e Utilisation de IPSec lorsque l adr IP source est modifi e le long du trajet NAT ou adresse IP dynamique Pour garantir l authenticit de l initiateur du tunnel chacun des
128. n PC au routeur par exemple la mise en service utiliser un cordon Ethernet standard crois ou non 7 Connexion l interface RS232 La liaison RS232 permet de raccorder indiff remment un quipement DTE terminal ou DCE modem Selon le type d quipement raccorder utiliser l un des c bles suivants commander s par ment C bles RS232 R f rence Connecteur Fonction CAB592 SubD 9 pts male Raccordement d un DCE CAB593 SubD 9 pts femelle Raccordement d un DTE CAB609 Raccordement d un DTE ou DCE selon c blage Longueur maximale du c ble RS232 L quipement raccord l interface RS232 ne doit pas tre loign de plus d une dizaine de m tres et le c ble de raccordement doit de pr f rence tre blind Page 44 Manuel d utilisation 9022309 01 Routeur RAS INSTALLATION 8 Connexion l interface RS485 IPL Router RS485 A L interface RS485 du routeur RAS n est pas isol e Elle est polaris e par des r sistances de 1 KOhm l int rieur du produit Si les quipements RS485 sont raccord s une distance sup rieure 10m on aura soin de connecter une r sistance de terminaison de ligne et deux r sistances de polarisation suivant les r gles de l art 9 Raccordement des entr es sorties Routeur IPL Sortie TOR isol e Entr e TOR Non isol e polaris e Routeur RAS Manuel d utilisation 9022309 01 L entr e tout ou rien permet au rout
129. n autre routeur client VPN Pour que des quipements raccord s deux routeurs clients VPN diff rents puissent changer des trames il faut enregistrer une route statique dans chaque routeur client VPN ou bien cocher la case e Si cette case est s lectionn e le serveur diffuse ces routes vers tous les clients Ainsi tout quipement raccord un routeur client VPN peut changer des trames IP avec tout autre quipement raccord un autre routeur sans qu il soit n cessaire de programmer des routes Param tre 1ere route sp cifique pousser adresse IP et netmask Envoie aux clients les chemins la valeur du param tre via le VPN Param tre 2eme route sp cifique pousser adresse IP et netmask Envoie aux clients les chemins la valeur du param tre via le VPN Page 116 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 9 3 Configurer une connexion OpenVPN sortante La valeur des param tres pr c d s d une doit tre identique dans tous les routeurs du r seau y compris le serveur Une connexion sortante est une connexion VPN tablie l initiative du routeur e Pour cr er une connexion sortante cliquer le bouton Ajouter plac sous le tableau des connexions sortantes IPL A 400 site x k Etic Telecom Industrial n x L DN Etic Administration e CG b p 192 168 38 191 4433 cgi method ms IPL A 400 R o Ge camp menu true amp
130. n en cours lere tape Vert Connect l ger clignotement en pr sence de data Ethernet Voyant inf rieur Eteint Interface d sactiv WAN Vert Interface actif l ger clignotement en pr sence de data Ethernet LAN Voyant inf rieur Eteint Interface d sactiv Vert Interface actif l ger clignotement en pr sence de data Page 38 Manuel d utilisation 9022309 01 Routeur RAS 1 5 Routeur RAS E ou RAS EW option WiFi RAS E 400 Ethernet USB Bouton poussoir B1 Interface LAN Ethernet 1 4 Poussoir Reset sur la face arri re Bornier 4 pts 1E TOR 1 S TOR Double bornier 2 pts Alimentation RAS E 220 Ethernet Bouton poussoir B1 Interface LAN Ethemet1 amp 2 RS485 RS232 3 l Poussoir Reset sur la face arri re Bornier 4 pts 1E TOR 1 S TOR Double bornier 2 pts Alimentation Routeur RAS INSTALLATION RAS EW 400 WiFi Ethernet USB Bouton poussoir B1 Interface LAN Ethernet 1 4 Poussoir Reset sur la face arri re Bornier 4 pts 1E TOR 1 S TOR Double bornier 2 pts Alimentation RAS EW 220 WiFi Ethernet USB Interface LAN Ethernet 1 amp 2 Bouton poussoir B1 RS485 RS232 Poussoir Reset sur la face arri re Bornier 4 pts 1E TOR 1 S TOR Double bornier 2 pts Alimentation Manuel d utilisation 9022309 01 Page 39 INSTALLATION VOYANTS RAS E XYZ et RAS EW XYZ D signation
131. ne pour une op ration de maintenance par exemple m me si ni le PC ni le routeur ne poss dent d adresse publique Fonctionnement L utilisateur du PC enregistre dans son logiciel M2Me_Secure le nom du certificat d authentification du routeur ETIC Lorsque l utilisateur ouvre son logiciel M2Me_Secure son PC tablit automatiquement une connexion s curis e vers le service M2Me_Connect Il s authentifie sur le service De son c t le Routeur ETIC fait de m me d s qu il est sous tension Une fois connect s au service et apr s authentification r ciproque le PC et le Routeur ETIC tablissent un VPN de bout en bout 3 2 Param trage d une connexion au service M2Me_Connect Pour param trer la connexion au service M2Me_Connect il suffit de param trer le VPN tabli depuis le Routeur ETIC vers le service M2Me_Connect ainsi que le VPN tabli depuis le PC vers le service M2Me_Connect Chacun de ces VPN peut tre support soit par le protocole UDP soit par le protocole TCP L utilisation du protocole UDP plut t que TCP est recommand e Etape 1 Param trage du Routeur ETIC e S lectionner le menu Configuration gt Acc s distant gt M2Me_Connect Param tre Activer Cocher la case pour activer la connexion au service M2Me_Connect Param tres Port TCP et param tres Port UDP Cocher tous les ports UDP ou TCP que le Routeur ETIC peut tester afin de tenter d tablir la connexion vers le service M2Me
132. nner la fonction serveur DHCP sur l interface LAN en effet de nombreux quipements de ce type ne fonctionnent que lorsqu un serveur DHCP attribue les adresses IP e S lectionner le menu Configuration gt Interface LAN gt Serveur DHCP Case cocher Activer le serveur Si cette case est coch e le Routeur ETIC se comporte en serveur DHCP sur l interface LAN Param tre D but de la plage d adresses IP Saisir l adresse IP du d but de la plage que le Routeur ETIC peut attribuer aux quipements du r seau LAN Param tre Fin de la plage d adresses IP Saisir l adresse IP de la fin de la plage que le Routeur ETIC peut attribuer aux quipements du r seau LAN Remarque Lorsque le Routeur ETIC poss de l option WiFi et que l interface Wifi est configur e en point d acc s il est conseill Param tre Masque de sous r seau Saisir le masque du r seau LAN Param tre Passerelle par d faut Saisir l adresse IP de la passerelle par d faut sur l interface LAN s il en existe une Param tre Serveur DNS primaire Saisir l adresse IP du serveur DNS secondaire Param tre Serveur DNS secondaire Saisir l adresse IP du serveur DNS secondaire Remarque les 4 param tres ci dessus sont les m mes que ceux qui ont t saisis pr alablement menu Ethernet et IP ils doivent tre saisis nouveau si le serveur DHCP est utilis Routeur RAS Manuel d utilisati
133. nsuite de d finir les droits d acc s des utilisateurs distants Interface WiFi optionnelle L interface WiFi optionnelle vient compl ter l interface LAN lorsqu elle est configur e en Point d acc s Les quipements qui se connectent en Wifi appartiennent au r seau LAN En particulier les adresses IP de ces quipements font partie du domaine IP du r seau LAN Routeur RAS Manuel d utilisation 9022309 01 Page 85 PARAMETRAGE EXPERT R gles d attribution de l adresse IP de l interface LAN Cas d une connexion distante LAN WAN2 LAN Le plan d adresses IP du r seau du PC distant d une part et du r seau LAN d autre part IP network doivent tre disjoints 7 J aa Internet La Les domaines les adr IP de ces 2 r seaux doivent tre diff rents Cas d un VPN tabli avec un autre routeur LAN1 WAN WAN LANZ Le plan d adresses IP du r seau distant d une VPN part et du r seau LAN d autre part doivent tre disjoints j Les domaines les adr IP F de ces 2 r seaux doivent tre diff rents IP network Internet 2 2 Menu Ethernet et IP e S lectionner le menu Configuration gt Interface LAN gt Ethernet amp IP 2 2 1 Param tres Ports Ethernet Case cocher Activer le mode hub Si cette case est coch e le switch Ethernet devient un hub les trames Ethernet sont diffus es sur tous les ports 2 2 2 Param tres R seau LAN Param tre A
134. ntique sur les pairs pour fonctionner Plus le groupe est grand plus la s curit est lev e au d triment du temps d tablissement du VPN Recommand groupe 2 La m me valeur doit tre choisie dans les 2 routeurs participant au VPN Param tres Life time uniquement si la case param tres avanc s a t coch e a t coch e Saisir la dur e de vie de la cl Routeur RAS Manuel d utilisation 9022309 01 Page 111 PARAMETRAGE EXPERT Paragraphe IKE phase 2 La phase 2 de IKE est la phase de n gociation des param tres de cryptage des donn es chang es par les routeurs Param tres Protocole Pr f rer ESP AH ESP assure confidentialit int grit et authentification des paquets chang s par les routeurs AH assure int grit et authentification mais pas la confidentialit ou cryptage Param tres Algorithme de cryptage Sauf difficult particuli re on s lectionnera le choix Auto AES offre une meilleure s curit par que 3DES Param tres Algorithme d authentification Sauf difficult particuli re on s lectionnera le choix Auto SHAT offre une meilleure s curit par que MD5 Case cocher PFS PFS Perfect forward Secrecy garantit qu un attaquant ayant enregistr des changes chiffr s un instant donn et parvenant obtenir les secrets cryptographiques une date ult rieure ne puisse pas pour autant d chiffrer les enr
135. o Si la valeur Auto est s lectionn e le Routeur ETIC choisit le relais qui assure la meilleure efficacit de transmission valeur par d faut AG S il est n cessaire de forcer l utilisation du r seau 46 s lectionner la valeur AG 3G Idem GPRS Idem Paragraphe SIM1 Configuration IP du WAN cellulaire Param tres login et Password Saisir l identificateur et le mot de passe du compte Internet Remarque sur les r seaux cellulaires il n est habituellement pas n cessaire de saisir ces param tres Case cocher Obtenir une adresse IP automatiquement Ce champ doit tre laiss vide sauf dans le cas o une adresse IP fixe est attribu e au Routeur ETIC sur le r seau cellulaire Case cocher Obtenir les adresses des serveurs DNS automatiquement Cocher cette case si l adresse des serveurs DNS est attribu e par l op rateur travers la ligne Case cocher Translation d adresse NAT Cocher cette case pour que le routeur ETIC substitue son adresse IP publique l adresse IP source de l quipement du r seau LAN lors d une transaction vers l Internet 1 3 2 Cas o deux cartes SIM sont utilis es en secours l une de l autre Le routeur ETIC comporte deux logements pour carte SIM Chaque carte SIM peut tre associ e un abonnement diff rent l un chez un op rateur et l autre chez un autre op rateur Dans la suite du texte on nomme r seau 1
136. on 9022309 01 Page 89 PARAMETRAGE EXPERT 2 4 Menu Liste des quipements Cette page permet de d signer par un nom et une adresse IP les quipements connect s au r seau LAN Il est n cessaire de d signer les quipements du r seau LAN qui doivent tre rendus s lectivement accessibles aux utilisateurs distants e S lectionner le menu Configuration gt Interface LAN gt Liste des quipements gt 192168 38 1918080 cgi7method get menu amp ampemenu true amp amp lang fr o Gs pflegen IPL CW 220 ste ag gt Aug gt Configuration gt Interfocs LAN gt Uste des quipements Y Configuration interface WAN e _ Y interire LAN Nondiste o Etemel et IP Non de domahe ile Sege mere H Lista des quipements Liste des quipements Y Acte distant erem WT ECK Liste des utilisateurs OE EM Du d acc e Moyens d act s R seau el O o omw te vn St er Moditer Supprimer Ajouter Copier etmad er A Y ls Droits d administration Certicats X509 Enregistrar annuier Pas rlles s rie b Alarmes b 3ys ne b Dagostcs propos x Pour d signer un quipement du r seau e Cliquer le bouton Ajouter e Attribuer un nom et une adresse IP du r seau LAN l quipement Remarque On peut aussi attribuer un quipement un nom et un ensemble d adresse IP appartenant au m me sous r seau Exemple 192 168 38 8 29 pour d signer la plage d adresses IP al
137. on Mapping machine propos e par l assistant Si cette option est s lectionn e et uniquement pour la connexion M2Me et VPN le routeur RAS renomme virtuellement le r seau machine pour se conformer aux r gles 1 et 2 ci dessus Exemple 1 R seau machine 192 168 1 0 R seau Usine 192 168 2 0 R seau du PC distant 192 168 1 0 Le r seau machine est le m me que le r seau du PC distant l option Remapping doit tre s lectionn e et le r seau machine virtuellement renomm dans un autre domaine au choix 192 168 147 0 24 par exemple Page 30 Manuel d utilisation 9022309 01 Routeur RAS PRESENTATION Fonctions possibles T l maintenance M2Me kd Droits d acc s individualis s des utilisateurs distants Etablissement d un VPN suppl mentaire vers un serveur VPN sur Internet pour des fonctions de supervision par exemple Envoi d un SMS ou d un email sur fermeture ou ouverture de l entr e TOR bd S curit A distance l utilisateur ne peut acc der ou aux quipements explicitement enregistr s dans le firewall au moment de la configuration Routeur RAS Manuel d utilisation 9022309 01 Page 31 PRESENTATION 5 6 Sc nario 6 Utilisation du r seau Usine et du r seau WiFi en secours Description Il arrive fr quemment que l utilisation du r seau Usine pour acc der l internet ne soit pas imm diatement ou facilement disponible c est la raison pour laquelle le routeur RAS permet d
138. ons sortantes Case cocher Acc s direct l Internet pas de proxy Laisser cette case non s lectionn e s il n existe pas de serveur proxy sur le r seau WAN Autrement cocher cette case et saisir Le type de serveur Proxy HTTP SOCKS5 l adresse IP du Proxy Son N de port Le type d authentification requise None basic NTLM si le serveur proxy est de type http e Cliquer Suivant ETAPE 3 RESEAU MACHINE La page Liste des quipements est affich e Cette page permet d enregistrer les quipements dont l acc s pourra ensuite tre autoris aux utilisateurs distants Si l acc s tous les quipements du r seau Machine doit tre autoris tous les utilisateurs il est inutile de d finir les quipements de la machine Si on souhaite filtrer l acc s distant aux quipements de la Machine cliquer le bouton Ajouter pour d finir successivement les quipements de la machine auxquels on souhaite donner un acc s distant Param tres Nom Saisir le nom de l quipement de la Machine automate de pompage par exemple Param tres Adresse IP Saisir l adresse IP de l quipement e Cliquer Suivant ETAPE 4 UTILISATEURS DISTANTS La page Liste des utilisateurs distants est affich e Cette page permet d enregistrer la liste des utilisateurs distants autoris s Remarque Par d faut le nom et le mot de passe de chaque utilisateur est v
139. ons sortantes Case cocher Acc s direct l Internet pas de proxy Laisser cette case non s lectionn e s il n existe pas de serveur proxy sur le r seau WAN Autrement cocher cette case et saisir Le type de serveur Proxy HTTP SOCKS5 l adresse IP du Proxy Son N de port Le type d authentification requise None basic NTLM si le serveur proxy est de type http e Cliquer Suivant Page 66 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE AU MOYEN DE LU ASSISTANT ETAPE 3 RESEAU MACHINE La page interface machine LAN est affich e Remarques L adresse IP du r seau Machine doit tre diff rente de l adresse du r seau du PC distant Si ce n est pas le cas il n est pas n cessaire de modifier l adresse des quipements de la machine on peut utiliser l option de translation d crite plus bas Exemples R seau R seau Usine R seau du PC Machine distant OK 192 168 12 0 192 168 1 0 192 168 10 0 OK 192 168 12 0 192 168 10 0 192 168 10 0 Les adr Machine et Usine sont identiques 192 168 1 0 192 168 1 0 192 168 10 0 Il faut changer les adr des quipements de la Machine ou se conformer au sc nario 2 il faut translater virtuellement l adresse du r seau 192 168 10 0 192 168 1 0 192 168 10 0 Machine Param tres Adresse IP amp Masque de sous r seau Saisir l adresse IP du routeur RAS sur le r seau Machine el le masque du r
140. outer un certificat Pour tablir un tunnel VPN le routeur ETIC peut s authentifier au moyen de certificat Cette solution procure un niveau lev de s curit Le routeur est livr avec un certificat X509 au format PKC 12 d livr par ETIC TELECOM cependant il est possible d ajouter un ou plusieurs autres certificats qui pourront tre s lectionn s la place du certificat initial Ces certificats peuvent tre introduits soit en format PKCS 12 avec mot de passe ou en en format PEM Un seul certificat peut tre actif la fois Attention les certificats du routeur client VPN et du routeur serveur VPN doivent avoir t d livr s par la m me autorit de certification Pour ajouter un certificat e S lectionner Configuration gt S curit gt Certificats e Cliquer le bouton ajouter e S lectionner le type de certificat PKC 12 ou PEM e S lectionner le certificat actif parmi la liste des certificats enregistr s Page 152 Manuel d utilisation 9022309 01 Routeur RAS MAINTENANCE 1 Diagnostic visuel de d faut de fonctionnement Apr s la mise sous tension le voyant Op ration s claire en rouge durant 30 secondes environ pendant la phase d initialisation du routeur Apr s ce d lai le voyant passe au vert lorsque le produit est pr t fonctionner Si le voyant reste clair rouge apr s de d lai le routeur est probablement en panne contacter la hotline 2 Menu Diagnostic 2 1 Journaux
141. r l par le Routeur ETIC pour identifier l utilisateur du PC e Pour cr er la connexion avec le site du Routeur ETIC cliquer l ic ne Menu puis Nouveau site e S lectionner l onglet G n ral et saisir le nom du site du Routeur ETIC ce libell n a qu un r le mn monique e S lectionner l onglet Connexion cocher les cases Ce site est accessible par Internet et Ce site est visible travers le service M2Me e Saisir le code appel Product key on le trouve dans le menu A propos du Routeur ETIC Il s agit du r sum du certificat d authentification enregistr dans le Routeur ETIC en usine il permet au PC de s adresser au Routeur ETIC lorsque l un et l autre sont connect s au service M2Me_Connect Le mot de passe doit tre gard secret par chaque utilisateur il n appara t jamais en clair Param tre e mail Il sera utilis par le Routeur ETIC soit pour transmettre un e mail d alarme la suite du passage en d faut de l entr e TOR soit lorsque l utilisateur souhaite se connecter par l Internet dans ce cas l adresse IP publique du Routeur ETIC peut lui tre transmise par e mail Param tre Filtre pare feu Un filtre est un ensemble de r gles de s curit limitant l acc s aux machines et services raccord es derri re le Routeur ETIC Un filtre peut tre appliqu pour un ou plusieurs utilisateurs ce qui permet de diff rencier les droits d acc
142. r UDP Routeur RAS Manuel d utilisation 9022309 01 Page 137 PARAMETRAGE EXPERT Pour r aliser les fonctions d crites ci dessus et s adapter aux diff rentes situations qu il est possible de rencontrer diff rents types de passerelles sont propos es 1 type Passerelle Modbus Ce type de passerelle permet de raccorder la liaison s rie un quipement modbus ma tre ou bien des quipements modbus esclaves ou bien les deux pour les faire communiquer avec d autres quipements modbus TCP ou modbus asynchrones connect s au r seau IP 2eme type Passerelle transparente point point Cette passerelle est appel e RAW client ou RAW serveur elle permet de relier un quipement s rie un autre quipement s rie utilisant le m me type de passerelle travers le r seau IP 3eme type Passerelle de diffusion vers un ensemble d abonn s RAW UDP Cette passerelle est appel e RAW UDP client ou RAW UDP serveur elle permet de relier entre eux un groupe d quipements s rie et un ensemble d quipements du r seau IP d sign s lors de la configuration Cette solution est tr s simple de mise en uvre on d signe chaque correspondant par son adresse IP les donn es s rie sont envoy es sous forme de datagrammes UDP chaque correspondant IP enregistr r ciproquement les donn es re ues par la passerelle au N de port convenu sont transmises sur la liaison s rie 4eme type Passerelle Telnet Cette passerelle per
143. r les connexions d utilisateurs distants OpenVPN Param tres Authentification des utilisateurs Si l on choisit la valeur Login mot de passe l authentification est r alis e l aide de ces deux codes uniquement Si l on choisit la valeur Login mot de passe et certificat num rique la s curit est renforc e Le PC distant est authentifi au moyen du certificat enregistr dans le PC et l utilisateur est identifi au moyen du login et du mot de passe Note dans ce cas le nom du certificat du PC de l utilisateur devra tre enregistr dans le routeur ETIC dans la fiche de l utilisateur Param tres Algorithme de chiffrement et Algorithme de hachage Laisser les valeurs par d faut Blowfish et MD5 Page 100 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 4 5 Param trage d une connexion distante de type PPTP Configurer le routeur e S lectionner la case cocher PPTP S lectionner le choix PPTP Configurer la connexion PPTP dans le PC Voir proc dure en annexe 2 4 6 Param trage d une connexion distante de type L2TP IPSec e S lectionner la case cocher L2TP IPSec Param tres Algorithme de chiffrement et Algorithme de hachage Laisser les valeurs par d faut Blowfish et MD5 Param tres Authentification des utilisateurs Si l on choisit la valeur Login mot de passe l authentification est r alis e l aide
144. registrer Annuler Retour gt Syst me gt Diagnostics gt Maintenance A propos Case cocher Actif Elle permet de retirer temporairement un utilisateur de la liste Param tre Nom complet C est le libell qui appara t dans le premier champ de la liste des utilisateurs autoris s Il permet en particulier de garder la trace de chaque connexion de l utilisateur dans le journal Param tres Email et N de t l phone L adresse mail permet l mission d un email d alarme Remarque le champ N de t l phone est r serv pour des usages ult rieurs Param tres Nom d utilisateur et mot de passe Ce sont deux codes diff rents attribu s chaque utilisateur Lorsqu il se connecte distance il doit saisir ces deux codes dans les champs correspondants de la fen tre de CONNEXION DISTANTE Routeur RAS Manuel d utilisation 9022309 01 Page 105 PARAMETRAGE EXPERT 7 D finir les droits d acc s des utilisateurs Il est possible de d finir les quipements auxquels chaque utilisateur peut acc der Au pr alable il faut d finir la liste des machines du r seau qui sont accessibles distance voir menu Interface LAN gt Liste des quipements Pour d finir les droits d acc s d un utilisateur e S lectionner le menu Configuration gt Droits d acc s le tableau des droits s affiche e C b tpS 192 168 38 191 4433 cgi method get menu amp
145. rifi mais pas le certificat du PC distant Routeur RAS Manuel d utilisation 9022309 01 Page 61 PARAMETRAGE AU MOYEN DE LU ASSISTANT Cliquer sur le bouton e Ajouter pour ajouter un utilisateur la liste Les champs sur fond rouge doivent imp rativement tre saisis Case cocher Actif Elle permet de retirer temporairement un utilisateur de la liste Param tre Nom complet C est le libell qui appara t dans le premier champ de la liste des utilisateurs autoris s Il permet en particulier de garder la trace de chaque connexion de l utilisateur dans le journal Param tres Email et N de t l phone L adresse mail permet l mission d un email d alarme Le N de t l phone permet l envoi d un SMS routeur cellulaire seulement Param tres Nom d utilisateur et mot de passe Ces deux codes identifient et authentifient l utilisateur distant e Cliquer e Suivant La page Droits d acc s est affich e Cette page permet affecter des droits chaque utilisateur distant Chaque ligne du tableau d finit un utilisateur et l quipement auquel il peut acc der adr IP et service Pour ajouter un nouveau droit un utilisateur cliquer le bouton Ajouter s lectionner un utilsateur dans la liste et l quipement auquel on lui donne acc s Pour donner l utilisateur l acc s tous les quipements du r seau Machine s lectionner la valeur Tous l
146. s Cette adresse IP ne doit pas tre confondue avec l adresse IP du routeur sur le r seau IP Cette valeur est utilis e seulement lors de la configuration d un n ud entrant Param tre d lai de d tection de perte de connexion En l absence de donn es mettre le VPN est entretenu p riodiquement par le routeur client au moyen d un paquet de contr le transmis vers le serveur A l issue de cette p riode et en l absence de r ception de ce paquet le VPN est coup Ce param tre fixe la p riode d envoi du paquet de contr le Remarque Ce param tre doit tre fix avec attention en effet en cas d interruption du VPN il d termine le d lai qu attend le routeur avant de le relancer pendant toute cette dur e la communication entre les routeurs sera donc impossible Prenons un exemple Si on fixe ce param tre 15 minutes et en cas d interruption de la connexion pour une raison quelconque la communication sera impossible pendant 15 minutes maximum en moyenne la moiti soit 7 mn 30 Si on fixe la valeur 1 mn le temps d interruption ne sera que de 1 mn au maximum mais l envoi p riodique du paquet de contr le peut engendrer un trafic co teux ou g nant sur un r seau 4G ou 3G Param tre D lai de retransmission C est le d lai au bout duquel le routeur r met le paquet de contr le en l absence d acquittement Di Param tres Chiffrement amp Authentification Les
147. s distants bd Etablissement d un VPN suppl mentaire vers un serveur VPN sur Internet pour des fonctions de supervision par exemple Envoi d un email sur fermeture ou ouverture de l entr e TOR S curit A distance l utilisateur ne peut acc der ou aux quipements explicitement enregistr s dans le firewall au moment de la configuration Routeur RAS Manuel d utilisation 9022309 01 Page 33 INSTALLATION 1 Description du produit 1 1 Dimensions 48 mm i 116 mm i Poussoir e autorisation provisoire gege d acc s distant co 35 mm Din rail Ka axis Poussoir Profil Usine E E N e 11 Bornier 4 pts 1 Bornier 2 pts alim 1E TOR 1 STOR Bornier 2 pts alim 1 2 Boutons poussoirs Bouton poussoir de face arri re Pour lever temporairement la s curit d acc s au serveur de configuration du routeur Appui sur BP ch 8 a Fonction pendant le Clignotement Retour l adresse IP usine 192 168 0 128 fonctionnement rouge La configuration courante reste active Simultan ment avec Clignotement Retour la configuration Usine la mise sous tension rouge La configuration courante est perdue sauf si elle a t sauvegard e dans un fichier Bouton poussoir de face avant B1 Autoriser temporairement l acc s distant Appui Sur BP Fonction Voyant face avant y 5 secondes 3 impulsions La hotline d ETIC TELECOM est autoris e tablir une connexion distante vers le routeur RAS dans un d lai
148. s le champ d adresse modbus TOP dans ce cas plusieurs esclaves peuvent tre adress s sur la liaison s rie Requ te modbus TCP Requ te modbus A Valeur de TO modbus vers l esclave sp cifi sp cifi e dans le champ adresse Ethernet RS232 485 Client TCP Modbus Param tre modbus Modbus esclaves sp cifi e par client modbus TCP e soit une adresse fixe configur e dans la passerelle voir ci dessous dans cas un seul esclave peut tre adress sur la liaison s rie Requ te modbus TCP Requ te modbus Valeur de l modbus vers l esclave d A non sp cifi e dans le champ adresse Nu D Modbus esclave Client TCP Modbus Ethernet Param tre modbus Attention Plusieurs client TCP modbus peuvent adresser des requ tes aux esclaves de la liaison s rie N anmoins on prendra garde ne pas saturer la liaison s rie puisque son d bit est bien inf rieur celui d Ethernet Configuration de la passerelle Modbus serveur e S lectionner le menu Passerelle IP RS puis cliquer sur Modbus puis Modbus serveur e Cocher activer la passerelle Param tre S lection du port Choisir la liaison s rie 1 ou 2 du routeur Bouton COM Permet de configurer les param tres d bit et format de la liaison s rie Param tre Protocole Modbus S lectionner RTU hexad cimal ou ASCII selon le besoin Param tre Activer la fonction pro
149. s moyens suivants e un navigateur HTML avec le protocole HTTP e un navigateur HTML avec le protocole de s curit HTTPS e En mode commande au moyen d une connexion s curis e SSH 4 Modification ult rieure de la configuration Le serveur de configuration se trouve l adresse IP attribu e l interface LAN du routeur adresse IP attribu e au switch Ethernet 1 ou 2 ou 4 ports selon le mod le 5 Acc s au serveur d administration par l interface WAN Pour autoriser l acc s au serveur d administration par l interface WAN e s lectionner le menu Configuration gt S curit gt Droits d administration e saisir le nom d utilisateur et le mot de passe e cocher la case utiliser HTTPS pour la configuration e cocher la case Activer l acc s par le WAN Le serveur d administration est accessible au moyen d un navigateur dans le mode HTTPS par l interface WAN ou l interface LAN Page 50 Manuel d utilisation 9022309 01 Routeur RAS PREPARER LE PARAMETRAGE 6 Op ration avec HTTPS Une fois que le mode HTTPS a t s lectionn proc der comme indiqu ci dessous Le N de port attribu au serveur d administration est le N 4433 e Ouvrir le navigateur et saisir l adresse IP du serveur d administration du routeur Exemple https 192 168 38 191 4433 e Cliquer sur continuer lorsque le navigateur affiche un message d avertissement e Saisir le nom d utilisateur et le mot de passe qui ont t
150. se connecter au produit le PC ou le CR routeur distant transmet au serveur DYNDNS une requ te visant obtenir en retour l adresse IP du routeur ETIC poss dant le nom de domaine mon_routeur_etictelecom ETIC router host name INTERNET weg Une fois qu il a acquis l adresse IP du routeur ETIC le PC distant CR peut tablir la connexion travers l Internet Page 132 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 13 2 Param trage Etape 1 Ouvrir un compte aupr s de DynDNS ou NolP org pour r server un nom de domaine dynamique C est le nom que l on attribue au routeur sur l Internet mon_routeur_etictelecom dyndns org par exemple Etape 2 Configurer le routeur e S lectionner le menu Configuration gt R seau gt Routage gt Dyndns e Cocher la case Activer Param tre Fournisseur de service DNS Choisir DynDNS ou NolP Param tres Identifiant du compte DNS dynamique et Mot de passe Saisir l identifiant et le mot de passe du compte ouvert chez le fournisseur de service de DNS dynamique Param tres Hostname Saisir le nom de domaine enregistr chez le fournisseur par exemple e mon_routeur_etictelecom Routeur RAS Manuel d utilisation 9022309 01 Page 133 PARAMETRAGE EXPERT 14 Configuration du pare feu 14 1 Pr sentation du pare feu Le pare feu a pour but de filtrer les changes de trames IP entre l interface WAN et l interface L
151. seau l autre doivent tre r gl es 1 3 1 Configuration de la carte SIM 1 ou de la carte SIM2 On d crit ci dessous la configuration de la carte SIM du logement 1 La configuration de la carte SIM du logement 2 est identique Paragraphe SIM1 Configuration du modem Param tre Cha ne d initiatlisation du modem Ce param tre permet de modifier dans des cas particulier la cha ne d initialisation transmise par le Routeur ETIC son modem cellulaire Laisser ce champ vide sauf indication de la hotline Param tre Nom du point d acc s APN Le r seau cellulaire est connect d autres r seaux l internet ou un r seau priv au travers d une passerelle appel e APN La ou les passerelles utilisables doivent tre d sign es par l op rateur T l com dans le contrat d abonnement Dans le cas contraire on peut se reporter au site web de l op rateur Entrer le nom de l APN associ la carte SIM par exemple websfr ou orange business Page 80 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT Param tre Code PIN a Saisir le code PIN de la carte SIM Param tre Type de r seau cellulaire Les infrastructures c est dire les relais 4G 3G et GPRS sont diff rentes les unes des autres Ce param tre permet de forcer le Routeur ETIC utiliser une de ces 3 infrastructures Param tre Type de r seau cellulaire Valeur Aut
152. seau Machine Liste de choix le r seau Machine est il identique au r seau IP du PC distant Si la r ponse est Non aucune saisie compl mentaire n est n cessaire Param tres Adresse IP dans laquelle translater le LAN Si la r ponse la question pr c dente est Oui il faut translater le r seau Machine Saisir l adresse translat e attribu e au r seau Machine on choisit pour le r seau Machine une adresse la fois diff rente du r seau du PC distant et du r seau Usine e Cliquer Suivant e La page Liste des quipements est affich e Cette page permet d enregistrer les quipements dont l acc s pourra ensuite tre autoris aux utilisateurs distants Si l acc s tous les quipements du r seau Machine doit tre attribu tous les utilisateurs il est inutile de d finir les quipements de la machine Si on souhaite filtrer l acc s distant aux quipements de la Machine cliquer le bouton Ajouter pour d finir successivement les quipements de la machine auxquels on souhaite donner un acc s distant Param tres Nom Saisir le nom de l quipement de la Machine automate de pompage par exemple Param tres Adresse IP Saisir l adresse IP de l quipement e Cliquer Suivant e Routeur RAS Manuel d utilisation 9022309 01 Page 67 PARAMETRAGE AU MOYEN DE LU ASSISTANT ETAPE 4 UTILISATEURS DISTANTS La page Liste des utilisateurs dist
153. ser une Adresse IP sp cifique Cocher cette case pour permettre l enregistrement d une adresse IP sp cifique de la passerelle USB dans ce cas les donn es transmises cette adresse sp cifique sont transmises sur l interface USB quel que soit le N du port de destination Param tre Adresse IP sp cifique Enregistrer l adresse IP sp cifiquement attribu e la passerelle USB Case cocher case Autoriser l acc s depuis l interface WAN Il est n cessaire de s lectionner cette case si l quipement est connect au r seau Ethernet de l Interface WAN Si le PC est connect par un VPN par exemple ou bien dans tout autre cas il n est pas n cessaire de cocher cette case Routeur RAS Manuel d utilisation 9022309 01 Page 149 PARAMETRAGE EXPERT 17 Alarmes 17 1 Transmettre un email ou un SMS Tous les mod les de routeurs RAS permettent de transmettre un email sur l un des v nements suivants Ouverture de l entr e tout ou rien Fermeture de l entr e tout ou rien Ouverture ou la fermeture de l entr e tout ou rien Connexion d connexion VPN Le Routeur EC ou RAS CW permet au choix de transmettre un SMS ou un email e S lectionner le menu Configuration gt Alarmes gt SMS Email Param tre Activer l alarme par email Si cette case est coch e une alarme par e mail est mise lorsque l entr e TOR N 1 change d tat Param tre Source de l alarme Ce para
154. ssez un fichier puis s lectionner le fichier XXX txt restituer e Modifier ventuellement le nom du fichier et cliquer le bouton Importer la configuration correspondante appara t dans la liste Configurations sauvegard es S lectionner la configuration dans la liste puis cliquer Charger elle remplace la configuration courante Routeur RAS Manuel d utilisation 9022309 01 Page 155 MAINTENANCE 4 Mise jour du firmware Elle s effectue par la prise Ethernet ou bien distance Si la mise jour choue par exemple si elle s effectue distance et que la connexion est interrompue pendant le chargement le routeur red marre avec la version ant rieure du firmware Apr s la mise jour le produit utilise le fichier de param trage utilis auparavant On v rifiera que la nouvelle version de firmware peut utiliser le fichier de param trage ant rieur la r gle est la suivante Le param trage ant rieur peut tre utilis si le chiffre majeur des versions de firmware est le m me Exemple V2 3 et V2 6 Pour effectuer la mise jour du logiciel s lectionner les menus Maintenance gt Mise jour du logiciel s lectionner le fichier du nouveau firmware e cliquer le bouton Mettre jour maintenant Page 156 Manuel d utilisation 9022309 01 Routeur RAS z L ETIC TELECOM 13 chemin du vieux Ch ne 38240 Meylan France contact etictelecom com
155. ssus ou bien une interface Par exemple On peut d signer une route passant par l interface PPOE du port Ethernet N 1 Si une route est tablie en d signant l adresse d une passerelle laisser ce champ vide Param tre Priorit Le param tre de priorit s applique chaque route statique de la m me mani re qu aux liaisons VPNs Lorsque deux routes m nent au m me r seau de destination le routeur s lectionne la route la plus prioritaire Le degr de priorit est d croissant Une route de de priorit 10 est plus prioritaire qu une route de priorit 20 Remarque Ce champ ne doit pas tre laiss vide en l absence de n cessit de d signer une priorit saisir la m me valeur 10 par exemple pour chacune des routes Routeur RAS Manuel d utilisation 9022309 01 Page 123 PARAMETRAGE EXPERT 10 3 Protocole RIP RIP Routing Information Protocol est un protocole de routage IP qui permet chaque routeur d un r seau de conna tre la route menant un sous r seau quelconque de ce r seau Le principe utilis est le suivant Diffusion des tables de routage Chaque routeur transmet aux routeurs voisins et aux couteurs RIP voisins la table qui associe chaque destination du r seau l adresse du routeur voisin menant cette destination ainsi que la m trie de la route pour y parvenir Mise jour des tables de routage Chaque routeur met jour sa propre table au moyen des informations re
156. sur l interface USB Page 14 Manuel d utilisation 9022309 01 Routeur RAS PRESENTATION Ethernet routage IP Ethernet HE aa SE D tection de d bit 10 ou 100 Mb s et de c ble crois Translation d IP source NAT Translation d IP destination DNAT Translation de port Port forwarding Substitution d en IP source et destination DNS Gestion du syst me de nom de domaine Internet Client ou IP fixe SEH LAN DHCP client ou serveur ou IP fixe Translation d IP S curit Client ou serveur IPSEC ou TLS SSL 25 VPN simultan s cryptage AES256 ou 3DES Authentification IPSec Cl partag e ou certificat X509 Authentification TLS Certificat X509 Stateful packet inspection 50 r gles Filtrage d adresses IP et des N de port source et destination Filtrage des utilisateurs distants en fonction de leur login mot de passe et optionnellement du certificat Logs Tableau d v nements horodat s Serveur d acc s distant RAS Utilisateurs distants Liste de 25 utilisateurs S curis e par VPN PPTP L2TP IPSec TLS Open VPN Connexion Contr le de Login et mot de passe Contr le de certificat X509 Compatible du logiciel client VPN M2Me_ Secure Compatible du service de m diation M2Me Connect Alarmes Email au moyen d 1 entr e num rique M2Me Routeur RAS Manuel d utilisation 9022309 01 Page 15 PRESENTATION 4 Pr sentation 4 1 Fonctions principales du routeur RAS Prise en main de ma
157. tant devra utiliser pour s identifier Nom commun Enregistrer Annuler Retour S lectionner la case cocher Actif et attribuer un nom la connexion Param tres Identifiant et mot de passe Saisir l identifiant et le mot de passe qui seront pr sent s par le routeur distant pour s authentifier Param tres Adresse IP du LAN distant amp Masque du r seau LAN distant Saisir l adresse du r seau LAN du routeur distant Param tre Nom commun Entrez la valeur du champ SubjectAltName du certificat actif du routeur distant Pour les certificats ETIC il s agit du champ Email Page 120 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 10 Routage 10 1 Fonctions de base Le routeur R2 voir sch ma ci dessous est pr t effectuer sa fonction de routeur entre le r seau LAN et l Internet d s qu on lui a attribu une adresse IP sur l interface LAN ici 192 168 2 128 et une autre sur l Internet et que l on a configur la connexion Internet 192 168 5 128 192 168 4 128 192 168 3 128 192 168 2 128 Internet R seau 7 e LAN distant R seau LAN RARP Pour que le routage s effectue Il faut cependant enregistrer dans chaque machine du r seau LAN l adresse LAN du routeur ETIC en tant routeur par d faut Le routeur R2 peut alors router des trames IP entre le r seau LAN et le r seau LAN distant au travers du VPN s il a t d fini par ex
158. te case non s lectionn e s il n existe pas de serveur proxy sur le r seau WAN Autrement cocher cette case et saisir Le type de serveur Proxy HTTP SOCKS5 l adresse IP du Proxy Son N de port Le type d authentification requise None basic NTLM si le serveur proxy est de type http Page 56 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE AU MOYEN DE LU ASSISTANT e Cliquer Suivant ETAPE 3 R SEAU MACHINE La page interface machine LAN est affich e Remarques L adresse du r seau Machine doit imp rativement tre diff rente de l adresse du r seau de l Usine Si ce n est pas le cas il faut modifier les adresses des quipements de la machine L adresse IP du r seau Machine doit galement tre diff rente de l adresse du r seau du PC distant Si ce n est pas le cas il n est pas n cessaire de modifier l adresse des quipements de la machine on peut utiliser l option de translation d crite plus bas Exemples R seau R seau Usine R seau du PC Machine distant OK 192 168 12 0 192 168 1 0 192 168 10 0 OK 192 168 12 0 192 168 10 0 192 168 10 0 Les adr Machine et Usine sont identiques 192 168 1 0 192 168 1 0 192 168 10 0 Il faut changer les adr des quipements de la Machine ou se conformer au sc nario 2 il faut translater virtuellement l adresse du r seau 192 168 10 0 192 168 1 0 192 168 10 0 Machine Param tres Adresse IP amp Masqu
159. tribu e l interface LAN du Routeur ETIC Serveur DHCP Le Routeur ETIC peut tre serveur DHCP pour les quipements du r seau local LAN R serve d adresses pour les utilisateurs distants Si le Routeur ETIC est aussi utilis pour permettre des utilisateurs distants d changer des donn es avec les quipements du r seau local au moyen d une connexion distante PPTP ou TLS ou L2TP une plage d adresses IP du r seau local doit leur tre r serv e Les adresses de cette plage ne doivent donc pas tre attribu es aux quipements du r seau local Exemple D sionatton Adresse IP Observations R seau LAN 192 168 12 0 Les adr des quipements du r seau vont de 192 168 12 1 192 168 12 254 Netmask 255 255 255 0 Interface LAN Routeur ETIC 192 168 12 1 L adr IP du routeur ETIC sur le r seau LAN est 192 168 12 1 D but de plage utilisateurs 192 168 12 2 2 utilisateurs distants pourront se connecter simultan ment au r seau LAN distants L un recevra l adresse 192 168 12 2 et l autre 192 168 12 3 Fin de plage utilisateurs 192 168 12 3 Ces 2 adresses ne peuvent pas tre attribu es d autres quipements du r seau distants LAN Adresses disponibles pour les 192 168 12 4 quipements du r seau local 192 168 12 254 Nom des quipements raccord s au r seau LAN Il est possible d attribuer un nom chaque quipement ou groupe d quipements connect s l interface LAN Ce nom permet e
160. u gestionnaire SNMP vers lequel les traps doivent tre transmis e S lectionner Configuration gt Syst me Case cocher Activer Si cette case est coch e l agent SNMP est lanc Param tre Adresse IP du premier gestionnaire SNMP Ce param tre enregistre l adresse IP du gestionnaire SNMP vers lequel les TRAP SNMP doivent tre envoy s Param tre Adresse IP du second gestionnaire SNMP Les traps SNMP peuvent tre transmis vers un second serveur SNMP Ce param tre enregistre l adresse IP de ce second serveur Param tre version du protocole SNMP Choisir dans la liste la version du protocole SNMP utiliser Param tre Nom de communaut C est nom partag entre chaque agent et le manager SNMP L agent SNMP ne r pond qu aux requ tes d un manager qui s identifie par ce nom Param tres Nom du syst me et Localisation du syst me Ces deux param tres permettent au gestionnaire SNMP d identifier l origine des traps Saisir les cha nes de caract res qui identifieront le routeur leur valeur est au choix Case cocher Surveiller le statut du backup OpenVPN Le serveur VPN peut surveiller via SNMP l tat des VPN principaux et backup de ses clients Il utilise ces donn es pour afficher un tableau r capitualtif dans la page diag openvpn Routeur RAS Manuel d utilisation 9022309 01 Page 151 PARAMETRAGE EXPERT 18 Fonctions avanc es 18 1 Aj
161. u moyen de VPN de type OpenVPN 9 1 Pr sentation Chaque connexion VPN de type OpenVPN est un tunnel tabli entre deux routeurs Ce tunnel VPN permet de connecter deux r seaux de fa on s re et transparente Lorsque le tunnel est tabli entre 2 routeurs chaque quipement du premier r seau peut changer des trames IP avec chaque quipement du second 25 connexions VPN peuvent tre cr es e Pour configurer les connexions OpenVPN s lectionner le menu Configuration gt R seau gt OpenVPN L cran des connexions VPN s affiche i aj kalak IPL A 400 site x VB jeudi ascension 2015 Re x gt C amp h pS 192 168 38 191 4433 cgi method get menu amp amp menu true amp amp lang fr a ms IPL A 400 site Kiss gt Accueil gt Configuration gt R seau gt Connexions VPN gt OpenVPN Configuration Interface WAN e Interface LAN Actif e b Acc s distant Red marrer Les serveurs OpenVPN Red marrer Y R seau Connexions VPN Serveurs OpenVPN OpenVPN D finissez les serveurs OpenVPN IPSec Protocole po Priorit du serveur P Routage UOP ra Redondance VRRP Redirection de port Afficher Modifier Supprimer Ajouter Copier et modifier A y lt gt NAT avanc DynDNS e QoS DiffServ Connexions OpenVPN entrantes gt S curit D finissez les connexions VPN entrantes gt Passerelles s rie a E Adresse du r seau LAN distant Alarm
162. u sc nario 2 il faut translater virtuellement l adresse du r seau 192 168 10 0 192 168 1 0 192 168 10 0 Machine Param tres Adresse IP amp Masque de sous r seau Saisir l adresse IP du routeur RAS sur le r seau Machine el le masque du r seau Machine Liste de choix le r seau Machine est il identique au r seau IP du PC distant Si la r ponse est Non aucune saisie compl mentaire n est n cessaire Param tres Adresse IP dans laquelle translater le LAN Si la r ponse la question pr c dente est Oui il faut translater le r seau Machine Saisir l adresse translat e attribu e au r seau Machine on choisit pour le r seau Machine une adresse la fois diff rente du r seau du PC distant et du r seau Usine e Cliquer Suivant Routeur RAS Manuel d utilisation 9022309 01 Page 73 PARAMETRAGE AU MOYEN DE LU ASSISTANT La page Liste des quipements est affich e Cette page permet d enregistrer les quipements dont l acc s pourra ensuite tre autoris aux utilisateurs distants Si l acc s tous les quipements du r seau Machine doit tre autoris tous les utilisateurs il est inutile de d finir les quipements de la machine Si on souhaite filtrer l acc s distant aux quipements de la Machine cliquer le bouton Ajouter pour d finir successivement les quipements de la machine auxquels on souhaite donner un acc s distant Param tres Nom
163. ues des autres Le protocole RIP permet d viter de d clarer les routes statiques dans chacun des routeurs Prenons l exemple du r seau du paragraphe pr c dent au lieu de d clarer les routes statiques dans les routeurs R1 R2 R3 et R4 il est possible d activer le protocole RIP dans chacun des routeurs Pour activer le protocole RIP e s lectionner le menu Configuration gt Routage gt RIP Cocher les cases Activer RIP sur l interface LAN et la case Activer RIP sur l interface WAN Page 124 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT 11 Redondance VRRP 11 1 Principe VRRP est un protocole qui permet deux ou plusieurs routeurs sur un m me r seau IP d agir en redondance les uns des autres afin d augmenter la disponibilit de la fonction de routeur Le m canisme est le suivant Les routeurs plac s en redondance les uns des autres poss dent chacun une adresse IP comme tout quipement d un r seau IP mais ils poss dent aussi une adresse IP commune appel e adresse IP virtuelle Cette adresse IP virtuelle et partag e est l adresse IP qui doit tre enregistr e dans les diff rents quipements du r seau comme l adresse du routeur par d faut De plus un indice de priorit compris entre 1 et 255 est attribu chacun des routeurs du groupe Les routeurs du groupe lisent le routeur ma tre c est celui qui a l indice de priorit le plus lev par la suite il annoncera 2
164. veurs DNS primaires et secondaires e Cliquer Suivant La page Connexion au r seau cellulaire est affich e Param tre APN Saisir le libell du point d acc s entre le r seau cellulaire et l Internet Exemple Websfr ou orange business Param tre Code PIN Saisir le code PIN de la carte SIM e Cliquer Suivant Routeur RAS Manuel d utilisation 9022309 01 Page 69 PARAMETRAGE AU MOYEN DE LU ASSISTANT ETAPE 3 RESEAU MACHINE La page interface machine LAN est affich e Remarques L adresse du r seau Machine doit imp rativement tre diff rente de l adresse du r seau de l Usine Si ce n est pas le cas il faut modifier les adresses des quipements de la machine L adresse IP du r seau Machine doit galement tre diff rente de l adresse du r seau du PC distant Si ce n est pas le cas il n est pas n cessaire de modifier l adresse des quipements de la machine on peut utiliser l option de translation d crite plus bas Exemples R seau R seau Usine R seau du PC Machine distant OK 192 168 12 0 192 168 1 0 192 168 10 0 OK 192 168 12 0 192 168 10 0 192 168 10 0 Les adr Machine et Usine sont identiques 192 168 1 0 192 168 1 0 192 168 10 0 Il faut changer les adr des quipements de la Machine ou se conformer au sc nario 2 il faut translater virtuellement l adresse du r seau 192 168 10 0 192 168 1 0 192 168 10 0 Machine
165. xi cache Si cette fonction est active une requ te n est adress e un esclave que si la m me requ te ne lui a pas t adress e depuis le temps fix par le param tre rafra chissement du cache Param tre Rafra chissement du cache Fixe le d lai minimum entre deux requ tes identiques adress es au m me esclave Page 142 Manuel d utilisation 9022309 01 Routeur RAS PARAMETRAGE EXPERT Param tre Temps d attente r ponse esclave C est le d lai d attente de r ponse la requ te adress e un esclave Param tre Nombre de r it rations Fixe le nombre de r it rations d une requ te modbus par le routeur en cas de non r ponse de l esclave modbus Param tre Temps inter caract res Fixe le temps maximum admissible entre caract res des r ponses de l esclave modbus Param tre Adresse esclave Modbus Si la valeur sp cifi e par le client modbus est s lectionn e la passerelle utilise l adresse modbus sp cifi e par le client modbus pour adresser l esclave modbus de la liaison s rie on peut ainsi adresser jusqu 32 esclaves de la liaison s rie Si l on s lectionne une valeur particuli re entre 1 et 255 la passerelle adresse toutes les requ tes au N d esclave s lectionn on ne peut interroger qu un seul esclave sur la liaison s rie Param tre Time out d inactivit sur TCP Fixe le temps au bout duquel la liaison TCP
Download Pdf Manuals
Related Search