IPL-G12. Routeur 3G-GPRS-EDGE-GSM data. NOTICE D'UTILISATION Document référence :

Transcription

1 IPL-G12 Routeur 3G-GPRS-EDGE-GSM data NOTICE D'UTILISATION Document référence :

2 Le routeur IPL-G12 est fabriquée par ETIC TELECOM 13 Chemin du vieux chêne MEYLAN FRANCE En cas de difficulté dans la mise en oeuvre du produit, vous pouvez vous adresser à votre revendeur, ou bien contacter notre service support : TEL : + (33) (0) FAX : + (33) (0) [email protected] web : Page 2 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

3 PRESENTATION PRESENTATION 1 DECLARATION DE CONFORMITE IDENTIFICATION DES PRODUITS FICHE TECHNIQUE PRESENTATION INSTALLATION 1 DESCRIPTION DU PRODUIT Voyants Connecteurs DIP switches VENTILATION ALIMENTATION MISE A LA TERRE CONNEXION D EQUIPEMENTS AU PORT SERIE RACCORDEMENT DES ENTREES SORTIES Contrôle préalable ANTENNE INSTALLATION DE LA CARTE SIM MISE EN SERVICE 1 ETAPES DE LA CONFIGURATION DU ROUTEUR CONNEXION DU PC EN VUE DE LA CONFIGURATION Introduction Première configuration Modifications ultérieures de la configuration /.. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 3

4 PRESENTATION MISE EN SERVICE 3 REDEMARRAGE APRES MODIFICATION DE CERTAINS PARAMETRES RESTITUTION DE L ADRESSE IP USINE RETOUR A LA CONFIGURATION USINE PROTECTION DE L ACCES AU SERVEUR D ADMINISTRATION RETROUVER L ACCES LIBRE AU SERVEUR D ADMINISTRATION CONFIGURER LES ADRESSES IP SUR L INTERFACE LOCALE PARAMETRAGE D UN ABONNEMENT AU SERVICE 3G OU GPRS-EDGE PARAMETRAGE D UN ABONNEMENT AU SERVICE GSM-DATA TELECOMMANDE DE CONNEXION AU SERVICE 3G OU GPRS-EDGE PUBLIER L ADRESSE IP DYNAMIQUE DU ROUTEUR SUR L INTERNET Principe Paramétrage INTERCONNEXION DE ROUTEURS AU MOYEN DE VPNS (3G GPRS-EDGE) Principes VPN IPSec VPN TLS INTERCONNEXION DE ROUTEURS PAR LE SERVICE GSM DATA A 9600 B/S Configurer une connexion PPP entrante Configurer une connexion PPP sortante Configurer une connexion PPP sortante et entrante MISE EN ŒUVRE DE FONCTIONS DE ROUTAGE Route statique /.. Page 4 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

5 PRESENTATION MISE EN SERVICE 16 SUBSTITUTION D ADRESSES (NAT, REDIRECTION DE PORT, NAT AVANCE) Translation d adresse (NAT) Redirection de port Substitution généralisée d adresses IP (NAT avancé) CONNEXION DES UTILISATEURS DISTANTS (3G-GPRS-EDGE) Principes Paramétrage d une connexion distante de type TLS Paramétrage d une connexion distante de type PPTP CONNEXION D UTILISATEURS DISTANTS PAR LE SERVICE M2ME_CONNECT Présentation Paramétrage d une connexion au service M2Me_Connect CONNEXION D UTILISATEURS DISTANTS (SERVICE GSM DATA) Principe Configuration d un connexion utilisant le modem interne Configuration d une connexion utilisant le modem externe PARAMETRAGE DE LA LISTE D UTILISATEURS Présentation Définir des utilisateurs FIREWALL Présentation Filtres d utilisateurs Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 5

6 PRESENTATION MISE EN SERVICE 22 CONFIGURATION DES PASSERELLES SERIE Présentation des types de passerelles Passerelle Modbus Passerelle «TCP RAW» Passerelle Multicast Passerelle Unitelway FONCTIONS AVANCEES Ajouter un certificat Alarmes SNMP Alarme sur changement d état des entrées TOR Activer le portail web Configurer le serveur DNS MAINTENANCE 1 DIAGNOSTIC VISUEL DE DEFAUT DE FONCTIONNEMENT SAUVEGARDE ET CHARGEMENT D UN FICHIER DE PARAMETRES MISE A JOUR DU FIRMWARE MENU DIAGNOSTIC QUELQUES UTILISATIONS PARTICULIERES 1 CONNEXION PAR INTERNET AU MOYEN DU SERVICE M2ME_CONNECT CONNEXION VPN AU MOYEN DU LOGICIEL M2ME_SECURE VISUALISATION DES ENTREES ET TELECOMMANDE DE LA SORTIE Annexe 1 : Arborescence du serveur d administration Annexe 2 : Créer une connexion sécurisée PPTP sous Windows XP Annexe 3 : Modifier une connexion ethernet TCP/IP sous Windows XP Annexe 4 : Aperçu sur la technique des VPNs Page 6 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

7 PRESENTATION 1 Déclaration de conformité Produit : Identification : Routeur 3G-GPRS-EDGE Références : IPL-G12B : Routeur pour les services GPRS-EDGE et GSM data IPL-G12B-3G : Routeur pour les services UMTS 3G & GPRS-EDGE Au nom de la société ETIC Telecom, Gilles Benas agissant en tant que directeur de la qualité, déclare que le produit ci-dessus est conforme à la directive R&TTE Directive (1999/5/EC). Le routeur est en particulier conforme aux normes suivantes : Compatibilité : EN EN EN FCC Part 15 Sécurité : EN UL (IEC950) Date : 12 Septembre 2010 Gilles Benas Responsable de la qualité Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 7

8 PRESENTATION 2 Identification des produits La présente notice décrit la mise en service et l utilisation des produits suivants : IPL-G12B IPL-G12B-3G UMTS HSDPA (3G) - GSM (GPRS-EDGE) GSM data 9600 b/s - RJ45 Ethernet 10 Mb/s 1 1 RS232-RS IP routeur NAT DNAT Port forwarding SNMP Dyn DNS DHCP client or server (LAN interface) Firewall SPI VPN PPTP, IPSEC, TLS Remote access server Entrées digitales d alarmes 3 3 Passerele série : RAW UDP client & serveur multi-unicast Raw TCP client & serveur Modbus client and serveur Telnet serveur unitelway Html Configuration Option IO Viewer Dans la suite du texte, quand on écrit «IPL-G12», on se réfère aux deux références ci-dessus. Page 8 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

9 PRESENTATION 3 Fiche technique Caractéristiques générales Dimensions 128 x 38 x 107 mm (h, l, p) EMI EN Sécurité électrique EN UL 1950 ESD : EN : Décharge 6 KV CEM Champ HF : EN : 10V/m < 2 GHz Transitoires : EN Choc : EN : 4KV line / earth Substances dangereuses 2002/95/CE (RoHS) Tension d alimentation 9 to 30 VDC ma at 24 VDC T d utilisation -20 C / + 60 C Humidité 5 à 95 % 3G GPRS-EDGE GSM data Fréquences 850/900/1800/1900 / 2100 MHz EGSM850 EGSM900 : class 4 (2 W) Puissance HF GSM1800 GSM1900 : class 1 ((1 W) Antenne Connecteur FME UMTS * HSDPA 384 kbps downlink / 384 kbps uplink EDGE-GPRS ** Débit max 85,6 Kb/s downlink Débit max 21,4 Kb/s uplink Multislot class 10 GPRS ** Multislot class 12 GSM data *** 9600 b/s liaison PPP * IPL-G12B-3G ** IPL-G12B-3G and IPL-G12B *** IPL-G12B UMTS Frequency range (3G) Min Max Uplink (UE to Node B) UMTS 850 Band V 824 MHz 849 MHz UMTS 1900 Band II 1850 MHz 1910 MHz UMTS 2100 Band I 1920 MHz 1980 MHz Downlink (Node B to UE) UMTS 850 Band V 869 MHz 894 MHz UMTS 1900 Band II 1930 MHz 1990 MHz UMTS 2100 Band I 2110 MHz 2170 MHz Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 9

10 PRESENTATION GSM Frequency range (GPRS-EDGE) Min Max Uplink (MS to BTS) GSM MHz 849 MHz E-GSM MHz 915 MHz GSM MHz 1785 MHz GSM MHz 1910 MHz Downlink (BTS to MS) GSM MHz 894 MHz E-GSM MHz 960 MHz GSM MHz 1880 MHz GSM MHz 1990 MHz Ethernet / routage IP Ethernet Routeur Translation DNS DHCP Sécurité VPN Firewall Logs 10BT Détection de débit 10 ou 100 Mb/s et de câble croisé Connexions distantes - Routes statiques - RIP V2 Translation source (NAT) Translation destination (DNAT) Translation de port (Port forwarding) Gestion du système de nom de domaine Internet : Client fixe LAN : DHCP client ou serveur IP fixe Client ou serveur IPSEC ou TLS/SSL 16 VPN simultanés cryptage AES256 ou 3DES Gestion de certificat X509 Stateful packet inspection (50 règles) Journal horodaté des connexions et déconnexions Page 10 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

11 PRESENTATION Serveur d accès distant (RAS) Utilisateurs distants Connexion M2Me Alarmes Liste de 25 utilisateurs Sécurisée par VPN PPTP / L2TP-IPSec / TLS Open VPN Contrôle de Login et mot de passe Contrôle de certificat X509 Compatible du logiciel client VPN M2Me_Secure Compatible du service de médiation M2Me_Connect Emai lau moyen d 1 entrée numérique Liaison série RS232 Passerelle RS à kb/s parity N / E / O Raw TCP client et serveur Modbus maître et esclave Telnet Unitelway Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 11

12 PRESENTATION 4 Présentation IPL-G12B-3G Le routeur IPL-G12B-3G permet d interconnecter des systèmes industriels par le réseau GSM UMTS (3G) ou le réseau GPRS- EDGE avec un haut niveau de sécurité. La connexion s effectue vers l internet ou un réseau IP privé. La connexion est permanente. IPL-G12B Le routeur IPL-G12B offre la même fonction mais sur le service GPRS-EDGE uniquement (et pas sur le service UMTS 3G) Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 12

13 PRESENTATION IPL-G12B : Service GSM data Si l abonnement est de type GSM data, la connexion s effectue entre le routeur IPL- G12 et un autre routeur du même type ou bien un autre routeur équipé d un modem connecté au réseau téléphonique ou encore équipé d un adaptateur et connecté au réseau RNIS. la connexion n est pas permanente; le routeur IPL-G12B numérote le destinataire, ou bien est appelé. Routeur IP Le routeur IPL-G12 offre un large gamme de solutions de routage qui peuvent être mises en œuvre selon le besoin pour assurer la communication entre les machines de chaque réseau à connecter : Connexions distantes décrivant les réseaux directement accessibles, Routes statiques, pour atteindre des réseaux nichés, Translation d adresse (NAT, DNAT, port forwarding), Protocole automatique d échange de table de routage (RIP), Gestion de nom de domaine DNS et DynDNS. VPN de type TLS et IPSec : Sécurité et interconenxion de réseaux Grâce à la technique du VPN, chaque routeur ne peut établir une connexion qu avec un autre routeur - ou un PC isolé qu après l avoir authentifié à l aide d une clé secrète. Toute autre connexion est rejetée. De plus, pour la discrétion, les données peuvent être cryptées. Etabli entre deux routeurs, le VPN assure l interconnexion transparente des deux réseaux en sorte que toute machine de l un des réseaux peut Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 13

14 PRESENTATION communiquer avec une machine de l autre réseau. Serveur RAS Le routeur IPL-G12 fait également fonction de serveur d accès distant permettant à un groupe d utilisateurs distants et authentifiés d accéder aux machines du réseau avec des droits maîtrisés. Firewall Le routeur IPL-G12 dispose d un firewall «SPI» qui inspecte les paquets en permanence. Il permet de rejeter les tentatives de connexions non authentifiées sur l Internet hormis les connexions VPN ou le routage autorisé par une régle de Port forwarding. SNMP Le routeur IPL-G12 est agent SNMP; il répond à la MIB2 standard et transmet un trap SNMP lorsque des événements praramétrables surviennent. DNS Le système DNS permet au routeur IPL-G12 d établir une connexion avec un autre routeur même si l un, l autre ou les deux routeurs ne possèdent pas une adresse IP connue. Le principe du DNS consiste à désigner un routeur destinataire d une connexion par un nom de domaine (par exemple «etictelecom» est un nom de domaine) plutôt que par son adresse IP. DHCP client et serveur Sur l interface ethernet, le routeur IPL-G12 peut recevoir une adresse IP fixe ou se comporter en client d un serveur DHCP qui lui attribue une adresse IP ; il peut aussi se comporter en serveur DHCP. Ces fonctions sont réglées au moyen de DIP switches placés sous la trappe sur la face supérieure du produit. s sms Un enregistré dans le routeur peut être transmis lorsque l entrée tout ou rien se ferme ou s ouvre. Cet peut être transformé en SMS si l adresse mail du destinataire a été attribuée à un numéro de téléphone mobile. Serveur de données : L option IOViewer permet de collecter des données sur le réseau Page 14 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

15 PRESENTATION d automatisme (Modbus Ethernet ou série) et de les présenter sur des pages html accessibles depuis l Internet. Il est également possible de télécommander des sorties. Configuration Html et DIP switches Le routeur IPL-G12 se configure au moyen d un navigateur HTML 2 micro-interrupteurs (DIP switches) permettent en plus de fixer le mode d attribution de l adresse IP du routeur (DHCP client ou serveur ou fixe) et de retrouver l adresse IP «usine» en cas de difficulté. EticFinder Le logiciel ETICFinder livré avec le routeur ; il permet de détecter simplement tous les produits de marque ETIC connectés à un segment Ethernet pour afficher leur adresse MAC ainsi que l adresse IP qui leur est attribuée sur le réseau. Passerelle série Le routeur IPL-G12 dispose d une liaison série RS232 et RS485 2 fils. La passerelle fonctionne suivant l un des modes suivants : Raw TCP client ou serveur Telnet Modbus maître ou esclave unitelway Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 15

16 PRESENTATION Page 16 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

17 INSTALLATION 1 Description du produit 1.1 Voyants Voyant Line / VPN LINK DATA RD TD SERVICE Fonction Si la carte SIM n est pas presente : Eteint Si la carte SIM est présente : Le nombre de clignotements indique la qualité de la réception GSM voir tableau ci-dessous. Si la carte SIM est présente et le produit configuré : A la mise sous tension, le nombre de clignotements indique la qualité de la réception GSM voir tableau ci-dessous. Ensuite, le voyant est éclairé fixe dés que le routeur est connecté au service. Eclairé : Un VPN a été établi Clignotant : VPN en cours d établissement Le routeur IPL-G12 est correctement connecté au réseau Ethernet Activité sur le réseau Ethernet Caractères transmis vers la liaison série (reçus du réseau GSM) Caractères transmis vers le réseau GSM (reçus de la liaison série) Clignote si la carte SIM est absente Eclairé lorsque la carte SIM est présente Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 17

18 INSTALLATION Le voyant Line / s éclaire régulièrement 3 coups bref s éclaire régulièrement 2 coups bref s éclaire régulièrement 1 coup bref est éteint en permanence Signification Bon niveau de réception Le serveur capte le réseau GSM ; le niveau de réception est bon. Niveau de réception suffisant Le serveur capte le réseau GSM ; le niveau de réception est acceptable. Cependant, des erreurs peuvent se produire qui peuvent ralentir la transmission. Améliorer la réception dans la mesure du possible. Niveau de réception faible Le serveur capte le réseau GSM, mais Il faut améliorer le niveau de réception. Pas de réception Le serveur n est pas utilisable. Contrôler le connecteur d antenne et la présence de la carte SIM. Est-il possible de recevoir une communication avec un mobile usuel? Page 18 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

19 INSTALLATION 1.2 Connecteurs Bornier 2 points : Alimentation N Signal Fonction à 30 VDC 170 ma à 24V 2 - Terre Connecteur RJ45 : Ethernet Broche Signal Fonction 1 Tx + Emission polarité + 2 Tx - Emission polarité - 3 Rx + Réception polarité + 4 N.C - 5 N.C - 6 Rx - Réception polarité - 7 N.C. - 8 N.C. - Bornier 8 points : Entrées-sorties Broche Signal Fonction 1 + Tension + 3 V DC fournie par le produit. 2 IN1 Entrée TOR N 1 3 IN2 Entrée TOR N 2 4 IN3 Entrée TOR N 3 5 OUT1 Sortie relais 6 OUT2 Sortie relais 7 B + RS485 polarité B 8 A - RS485 polarité A Connecteur RS232 DB9 femelle Broche Circuits Désignation RAS - Terminal 1 DP CD 109 Détection de porteuse 2 RD RX 104 Réception de données 3 ED TX 103 Emission de données 4 TDP DTR 108 Terminal de données prêt 5 TS SG 102 Terre de signalisation 6 PDP DSR 107 Poste de données prêt 7 DPE RTS 105 Demande pour émettre 8 PAE CTS 106 Prêt à émettre 9 IA RI 125 Indicateur d appel Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 19

20 INSTALLATION 1.3 DIP switches SW 1 SW 2 Micro-switches OFF OFF IP du serveur d administration est l adresse programmée ON OFF OFF ON IP du serveur d administration est l adresse usine : Le mot de passe qui protège l accès au serveur d administration est inopérant l'adresse IP du serveur d administration est obtenue auprès d un routeur BOOTP ou DHCP. ON ON Réservé SW 3, SW 4 Non utilisé Bouton-poussoir : Un bouton-poussoir est placé sous la trappe à côté des DIP switches ; il permet de restaurer la configuration usine en cas de blocage du produit au cours de la configuration. Pour restaurer la configuration usine : Mettre le produit sous tension tout en maintenant le bouton poussoir enfoncé et jusqu à passage à la couleur verte du voyant SERVICE. Attention : La configuration éventuellement programmée est perdue. 2 Ventilation Le produit est conçu pour être fixé sur un rail DIN 35 mm. Pour éviter tout échauffement, en particulier lorsque la température ambiante peut s élever dans l armoire électrique, on veillera à ménager un espace de 1 cm de chaque côté du produit pour faciliter l écoulement de la chaleur. 3 Alimentation La tension d alimentation doit être régulée et strictement comprise entre 9 et 30 Volt continu. Attention : La consommation du routeur est de 4W. Cependant, lorsqu il émet, le module GSM consomme des pics de courant de plusieurs Ampère pendant quelques millisecondes ; l alimentation doit être capable de fournir ces pics pour assurer un bon fonctionnement. Page 20 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

21 INSTALLATION 4 Mise à la terre Le boîtier est métallique; on veillera à relier la cosse de mise à la terre du boîtier (située sur sa face inférieure) à une terre de protection efficace. 5 Connexion d équipements au port série Le serveur d accès distant dispose d une interface RS232 et d une interface RS485 permettant le raccordement d un équipement asynchrone afin de pouvoir y accéder «en mode TCP/IP» (fonction passerelle IP- RS), soit depuis le réseau local soit à distance. RS232 L équipement raccordé ne doit pas être éloigné de plus d une dizaine de mètres du serveur RAS et le câble de raccordement doit de préférence être blindé. RS485 La liaison RS485 est polarisée par des résistances de 1 K Ohm à l intérieur du produit. Si l équipement asynchrone est raccordé à une distance supérieure à 10m, on aura soin de connecter une résistance de terminaison de bus RS485 suivant les règles de l art. IPL-AD KOhm 1 KOhm B(+) A(-) RS485 Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 21

22 INSTALLATION 6 Raccordement des entrées sorties Le routeur comporte 3 entrées et une sortie digitales. Les entrées ne sont pas isolées; un peut être émis lorsque l une d entre elles change d état. ETIC 3V3 In 1 2 3V3 In 1 3 3V3 3 entrées digitales In 1 4 Sortie TOR polarisée F+ F- 5 6 V + - V < 48 VDC I < 0,5 A Par ailleurs, le menu du menu «Contrôle des E/S» du serveur d administration permet de visualiser l état des 3 entrées et de télécommander la sortie. Sortie sur relais : Entrées : Sortie sur relais : Tension maximum 50 VDC Courant maximum : 500 ma Non isolée Tension maximum 20 V Tension maximum 50 VDC Courant maximum : 500 ma 6.1 Contrôle préalable Autorisation de transmission par GSM On vérifiera que l utilisation d un GSM est autorisée dans le bâtiment où doit être installé le serveur. Contrôle du niveau de réception GSM avant installation On contrôlera, au moyen d un téléphone GSM de type habituel ou bien du voyant de champ du routeur IPL-G12e ou, que le niveau de réception est suffisant à l emplacement où il est prévu d installer le produit. Si l on utilise un téléphone portable, on utilisera un abonnement du même opérateur (le même réseau donc) que celui prévu pour le serveur d accès distant ; 3 barres de champ sont nécessaires. Page 22 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

23 INSTALLATION 7 Antenne Installation de l antenne Si l armoire dans laquelle doit être installé le routeur est métallique, il faut installer l antenne GSM à l extérieur de l armoire (voir paragraphe 9). Type de l antenne Le routeur se raccorde à une antenne externe à support magnétique (ANT200), ou bien à une antenne destinée à être vissée sur un support metallique horizontal ; le dessus d une armoire métallique par exemple (ANT207). L antenne est fournie séparément. ANT200 Gain = 0 db ANT207 Gain = 0 db ANT203 Gain = 3 db 8 Installation de la carte SIM Attention : Pour effectuer cette opération, placer le routeur hors tension. Etape 1 : Installation de la carte SIM Que l abonnement soit du type GSM data ou du type liaison permanente GPRS ou GPRS-EDGE, une carte SIM doit être insérée dans le logement situé sur la face supérieure du produit. Appuyer sur le poussoir au moyen d une pointe; Extraire le porte carte SIM; Y placer la carte SIM; Replacer le porte-carte SIM. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 23

24 INSTALLATION Etape 2 : Contrôle du niveau de réception GSM Une fois le produit installé, on contrôlera que le serveur RAS se connecte correctement au réseau GSM. Le contrôle s effectue au moyen du voyant Line / de la face avant du serveur : Le voyant Line / s éclaire régulièrement 3 coups bref s éclaire régulièrement 2 coups bref s éclaire régulièrement 1 coup bref est éteint en permanence Signification Bon niveau de réception Le serveur capte le réseau GSM ; le niveau de réception est bon. Niveau de réception suffisant Le serveur capte le réseau GSM ; le niveau de réception est acceptable. Cependant, des erreurs peuvent se produire qui peuvent ralentir la transmission. Améliorer la réception dans la mesure du possible. Niveau de réception faible Le serveur capte le réseau GSM, mais Il faut améliorer le niveau de réception. Pas de réception Le serveur n est pas utilisable. Contrôler le connecteur d antenne et la présence de la carte SIM. Est-il possible de recevoir une communication avec un mobile usuel? Note : Le niveau de signal est également affiché dans la page «Système» puis «Modem». Page 24 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

25 1 Etapes de la configuration du routeur Pour configurer le routeur, nous conseillons de procéder comme suit : Connecter un PC au routeur Configurer l interface LAN Configurer l abonnement au service GSM 3G GPRS EDGE ou GSM data Configurer les connexions VPN avec d autres routeurs 3G GPRS EDGE ou GSM data Configurer les fonctions de translation d adresse et redirection de port Configurer la connexion d utilisateurs distants 3G GPRS EDGE 3G GPRS EDGE en utilisant le service M2Me_Connect GSM data Saisir la liste des utilisateurs distants Configurer le firewall Configurer l envoi d s d alarme 2 Connexion du PC en vue de la configuration 2.1 Introduction Le routeur se configure au moyen d un PC équipé d un navigateur HTML. Aucun logiciel complémentaire n est nécessaire. Navigateur HTML L utilisation de Internet explorer 8 est conseillée. Adresse du serveur d administration : Le serveur web d administration se trouve à l adresse IP de l interface Ethernet LAN du routeur ( par défaut). Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 25

26 Première configuration : La première configuration s effectue en connectant le PC directement au connecteur Ethernet du produit. Modification de la configuration : Les modifications ultérieures peuvent être en plus effectuées par le réseau local ou bien à distance à travers Internet en utilisant une connexion distante VPN. Restitution à l adresse IP usine : L adresse IP usine peut être restituée en plaçant les microswitches SW1 sur ON et SW2 sur OFF. De plus, lorsque les microswitches sont dans cette position, et si un mot de passe protège l accès au serveur de configuration, il est rendu inopérant par l interface Ethernet locale. Protection d accès au serveur d administration : Si vous ne parvenez pas à accéder au serveur d administration, c est probablement que l accès en a été limité pour des raisons de sécurité ou pour d autres raisons. Voir paragraphe 5 : perte de l adresse IP du serveur d administration. Voir aussi paragraphe : Droits d administration Position des micro-switches Les micro-switches SW01 et SW02 ne doivent pas être laissés sur la position SW01=ON et SW02=OFF (restitution de l adresse IP usine) en cours d utilisation du produit. Caractères accentués Les caractères accentués ne doivent pas être utilisés. «Copier / coller» : Les paramètres doivent être saisis au clavier et pas «collés». Cependant, si on procède par «copier / coller», et après avoir collé le paramètre, on peut supprimer le dernier caractère et le saisir à nouveau. 2.2 Première configuration Etape 1 : Créer ou modifier la connexion TCP/IP du PC (voir annexe 1). Attribuer à cette connexion une adresse IP différente mais cohérente avec l adresse IP usine du routeur qui est On utilisera par exemple l adresse pour le PC. Etape 2 : Connecter le PC au routeur Page 26 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

27 Connecter le PC au routeur, soit directement soit au moyen d un switch. Etape 3 : Lancer le navigateur Ouvrir le navigateur et désigner l adresse IP du serveur d administration programmée en usine : (ne pas faire précéder l adresse de www). La page d accueil du serveur d administration s affiche. 2.3 Modifications ultérieures de la configuration Les modifications peuvent être effectuées depuis le réseau local à l adresse qui a été attribuée au serveur d administration (voir paramétrage). Modification par le réseau local Ouvrir le navigateur du PC et saisir l adresse IP du serveur d administration du routeur. Saisir, s il y a lieu, le nom d utilisateur et le mot de passe qui ont été programmés pour protéger l accès au serveur d administration. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 27

28 Si la fenêtre de demande d identification ne s affiche pas : L adresse IP que vous avez saisie est fausse. Si la fenêtre de demande d identification s affiche, mais pas la page web : Le nom d utilisateur ou le mot de passe d accès au serveur d administration sont erronés. Modification à distance par l Internet Les modifications de configuration à distance doivent être réalisées avec prudence ; en effet, si l on modifie un paramètre critique de manière inadaptée, la connexion pourra être perdue. Après avoir connecté le PC au routeur via l Internet, procéder comme si le PC était raccordé au réseau local. 3 Redémarrage après modification de certains paramètres Certains paramètres ne sont pris en compte par le routeur qu après redémarrage du produit. Lorsque l on effectue la configuration à distance, ceci a en plus pour effet de couper la liaison VPN. Il est donc conseillé d opérer comme suit : Après modification des paramètres d une page, cliquer le bouton «enregistrer» placé en bas de la page. Lorsque le paramétrage est terminé, pour que les modifications soient prises en compte, cliquer le bouton «redémarrer» de couleur rouge qui apparaît en bas de la barre verte de menu. Le routeur redémarre (la durée du redémarrage est de 15 sec environ). Fermer le navigateur html, puis l ouvrir à nouveau pour contrôler que le paramétrage a correctement été pris en compte. Le bouton «redémarrer» doit avoir disparu. Attention : Le bouton «redémarrer» est situé sous le dernier menu de la barre de couleur verte; il peut ne pas apparaître à l écran si tous les menus sont ouverts ; contrôler en utilisant la barre de navigation. Page 28 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

29 4 Restitution de l adresse IP Usine Au cas où l adresse IP de l interface LAN du routeur ne pourrait être identifiée, on procéder suivant l une des deux méthodes ci-dessous : 1ere méthode : On place le DIP switch SW01 sur la position ON. et SW02 OFF. L adresse IP «Usine» est restituée tant que ces DIP switches sont maintenus dans cette position. 2eme méthode : Le logiciel ETICFinder permet de détecter tous les produits fabriqués par ETIC TELECOM et connectés sur le segment Ethernet ; le logiciel affiche l adresse IP attribuée à chacun d entre eux. 5 Retour à la configuration Usine il peut être nécessaire de restaurer la configuration Usine. Dans ce cas, le routeur retrouve la configuration qu il avait à la livraison (voir ci-dessous). Deux solution permettent de restituer la configuration usine : Soit le bouton poussoir, soit un bouton du serveur d administration. Pour restituer la configuration Usine au moyen du bouton poussoir, Mettre le routeur hors tension, Ouvrir la trappe située sur la partie supérieure, Appuyer sur le poussoir avec une pointe de tournevis par exemple, Mettre sous en tension tout en maintenant le poussoir enfoncé. Le voyant SERVICE passe au rouge ; le routeur s initialise et la configuration par défaut est restituée. Pour restituer la configuration usine au moyen du serveur web, Sélectionner le menu «Maintenance», puis le menu «Sauvegarde / Restauration». Cliquer le bouton «Restaurer la configuration Usine». Le voyant SERVICE passe au rouge ; le routeur s initialise et la configuration par défaut est restituée. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 29

30 Remarque : Après avoir restauré la configuration Usine du routeur, la configuration stockée précédemment est perdue. 6 Protection de l accès au serveur d administration Sélectionner le menu «Configuration», «Sécurité» puis «Droits d administration». Saisir le nom d utilisateur et le mot de passe qui protègent l accès au serveur d administration. 7 Retrouver l accès libre au serveur d administration En cas de perte du nom d utilisateur et du mot de passe d accès au serveur d administration, on peut restituer un accès libre au serveur d administration, par l interface LAN uniquement, en plaçant le DIP switch SW01 en position ON et SW02 en position OFF. Remarque : Les DIP switches ne doivent pas être laissés dans cette position en cours d utilisation du produit. 8 Configurer les adresses IP sur l interface locale Les adresses IP suivantes doivent être enregistrées : L adresse IP du routeur sur le réseau local, Le groupe d adresses IP qui seront attribuées automatiquement aux PC distants lorsqu il se connectent au routeur par l Internet. Sélectionner le menu «Système» cliquer sur «Protocole IP». Configurer les paramètres «Réseau LAN» : Page 30 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

31 Paramètre «Adresse IP» : C est l adresse IP du routeur sur le réseau local. Elle permet aussi d accéder au serveur d administration (à distance ou par ethernet). Paramètre «Masque de sous-réseau» (netmask) : Le masque de sous-réseau définit la structure des adresses IP de toutes les stations d un segment de réseau local. La valeur de ce masque doit être fournie par le responsable du réseau ; cependant, on notera que dans les réseaux de 254 stations, le masque de sous-réseau est Remarque : Si «l adresse IP usine» est forcée au moyen des microswitches (SW1 ON et SW2 OFF), un message d avertissement est affiché mais cela n empêche pas de saisir l adresse IP dans le routeur. Elle ne deviendra effective que lorsque les micro-switches seront repassés en mode «@IP programmée» (SW1 OFF et SW2 OFF). Il en est de même si le routeur a été forcé en mode client BOOTP ou DHCP. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 31

32 9 Paramétrage d un abonnement au service 3G ou GPRS-EDGE Sélectionner le menu «Système» puis «Internet», puis «Compte». Paramètre «Activer la connexion Internet» : Sélectionner le choix «Par modem» Paramètre «Serveur de médiation» : Sélectionner le choix «Aucun si la connexion est établie directement ou bien sélectionner le choix M2Me si la connexion VPN est réalisée au moyen du service M2Me_Connect. Paramètre «mode 3G / GPRS» : Cocher la case correspondante. Paramètres «APN», «Identifiant» Mot de passe» : Saisir les valeurs de ces paramètres fournies par l opérateur de réseau GPRS. Attention : si aucun identifiant ou mot de passe n est fourni dans le document d abonnement, saisir un caractère quelconque dans les champs correspondants. Paramètre «Serveur de courriers sortants» et «adresse du compte» : Si le serveur RAS doit envoyer des s, une adresse mail doit lui être attribuée et les courrier sortants doivent être envoyés vers un serveur de courriers. Saisir les paramètres correspondants. Page 32 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

33 10 Paramétrage d un abonnement au service GSM-data Le service GSM data est un service de transmission de données à 9600 b/s. Une conexion peut être établie entre deux routeurs abonnés au service GSM data ou bien entre un routeur abonné au service GSM data et un autre routeur connecté au réseau téléphonique ou RNIS. La connexion n est pas permanente. Un des routeur compose le N de l autre. Ce service est fourni par le routeur IPL-G12B seulement. Pour paramétrer l abonnement GSM data, effectuer les opérations suivantes : Sélectionner le menu «Internet» puis «Compte». Vérifier que la case à cocher Mode GPRS/3G n est pas cochée. Sélectioner le menu «Système» puis «Modem». Cocher la case «Utiliser la chaîne d'initialisation par défaut». Note : Aucun caractère numérique ou alphanumérique ne doit être saisi dans le champ «Préfixe de numérotation». 11 Télécommande de connexion au service 3G ou GPRS-EDGE Si le routeur ne peut pas rester en permanence connecté au réseau GPRS, il est possible de le télécommander. Les options suivantes sont proposées : Paramètre «Se connecter à Internet suite à un appel venant du» : Un appel provenant du N de téléphone (fixe ou mobile) saisi dans ce champ agit comme une télécommande de connexion du routeur à l Internet. Paramètre «Autoriser la contre-appel vers Internet» : Cocher cette case pour autoriser le contre-appel vers l internet. Lorsque cette case est cochée, le routeur se connectera à l Internet chaque fois qu il en recevra la télécommande d un utilisateur au moyen d une connexion GSM data. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 33

34 Lorsqu une connexion PPP est établie vers le routeur IPL-G12 au moyen du service GSM data et si, au cours de la connexion, l utilisateur distant entre le chiffre «0» dans le champ destiné au N de contre-appel, alors le routeur se conencte auréseau GPRS et à l Internet. Paramètre «Se connecter à Internet à la mise sous tension» : Si cette case es tcochée, le routeur se connecte à l Internet à la mise sous tension. Paramètre «Se connecter à Internet à la mise sous tension» : Si cette case est cochée, le routeur se connecte à l Internet à la mise sous tension. Paramètre «Se connecter à Internet à la fermeture de l'entrée 1» : Si cette case est cochée, le routeur se connecte à l Internet à la fermeture de l'entrée 1 Bouton «Se connecter à Internet maintenant» : Si ce bouton est cliqué, le routeur se connecte Page 34 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

35 12 Publier l adresse IP dynamique du routeur sur l Internet 12.1 Principe Cas du réseau GPRS L adresse IP attribuée au routeur lorsqu il se connecte au service GPRS est attribuée par l opérateur du réseau GSM-GPRS-EDGE. Elle peut être de l un des trois types suivants : Une adresse privée : Le réseau GPRS est un réseau séparé de l Internet ; certains opérateurs ne fournissent pas au routeur une adresse publique mais une adresse privée qui ne peut pas être utilisée sur l Internet. Une adresse publique dynamique : Le réseau GPRS attribue généralement une adresse publique au routeur ; mais cette adresse change à chaque connexion. On dit qu elle est dynamique. Une adresse IP publique fixe : Certains abonnement prévoient l attribution d une adresse IP publique fixe. Si l adresse IP est publique et dynamique, il est utile de la publier à chaque changement sur un serveur spécialisé appelé DynDNS. Cette solution permet à un autre routeur ou à un PC de l Internet de prendre l initiative de se connecter à tout instant au routeur GPRS. Grâce au serveur DynDNS, un utilisateur peut connecter son PC au routeur GPRS en utilisant le nom de domaine dynamique attribué au routeur ETIC (etictelecom.dyndns.org, par exemple) au lieu de l adresse IP inconnue. Le procédé est le suivant : Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 35

36 Chaque fois que le routeur se connecte au réseau GPRS, une adresse IP lui est attribuée par le système GPRS. Le routeur IPL publie cette adresse IP sur l Internet auprès du serveur DynDNS et face à son nom de machine (etictelecom, dans notre exemple). Chaque fois qu il souhaite se connecter au produit, le PC ou le routeur distant transmet au serveur DYNDNS une requête visant à obtenir en retour l adresse IP du routeur IPL-G12 possédant le nom de domaine «etictelecom». Une fois qu il a acquis l adresse IP du routeur IPL-G12, le routeur distant peut établir la connexion à travers l Internet. Page 36 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

37 12.2 Paramétrage MISE EN SERVICE Etape 1 : Ouvrir un compte auprès de DynDNS.org pour réserver un nom de domaine dynamique Le site web permet de réserver un «nom de domaine dynamique» sur l Internet. C est le nom que l on attribue au routeur sur l Internet (etictelecom.dyndns.org, par exemple). Etape 2 : Configurer le produit Sélectionner le menu «Internet» puis «@IP dynamique». Activer l option DynDNS. Sélectionner l option «serveur DynDNS.org». Entrer le «nom de machine» fourni par DynDNS ainsi que les login et mot de passe associés. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 37

38 13 Interconnexion de routeurs au moyen de VPNs (3G GPRS-EDGE) Les connexions VPN ne peuvent être mises en oeuvre que si le routeur est utilisé sur le service 3G ou GPRS-EDGE Principes Connexions VPN Chaque connexion VPN est un tunnel établi entre deux routeurs. Un tunnel VPN permet de connecter deux réseaux de façon sûre et transparente. 25 connexions VPN peuvent être créées. Une connexion peut être entrante ou sortante. Si c est le routeur du site distant qui a l initiative de la connexion, alors elle est appelée «connexion entrante» et le routeur distant est appelé «routeur client VPN». Si c est le routeur que l on est en train de configurer qui a l initiative de la connexion, elle est appelée «connexion sortante» ; le routeur distant est appelé «routeur serveur VPN». Type de VPN 2 types de VPN peuvent être établis entre deux routeurs IPL-E : IPSec ou TLS/SSL. Une fois un type de VPN sélectionné (IPSEC ou TLS/SSL, il s applique à l ensemble des connexions avec les sites distants. IPSec On choisira IPSec pour assurer la compatibilité lorsque le routeur IPL-E doit communiquer avec un routeur d une autre marque. TLS/ SSL Ce protocole offre plus de souplesse qu IPSec ; en particulier lorsque le trafic VPN doit être routé au travers de routeurs intermédiaires. On choisira TLS lorsqu il n est pas nécessaire d assurer la compatibilité avec d autres routeurs. Pour paramétrer l interconnexion des sites, il faut procéder en deux étapes : Etape 1 : Configurer type de VPN qui sera utilisé (IPSec ou TLS/SSL). Page 38 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

39 Etape 2 : Paramétrer les connexions distantes avec chacun des sites VPN IPSec Paramétrage du protocole IPSec Sélectionner le menu «Sécurité» puis «VPN», puis «Paramètres VPN». Sélectionner le choix IPSec puis cliquer sur «Propriétés» pour régler les paramètres. Paramètre «Protocole» : Choisir de préférence ESP qui réalise le cryptage. Paramètre «Authentification par» : Elle peut être assurée soit par une clé pré partagée, soit par un certificat numérique. La clé pré partagée est un code qu utilise le routeur pour s authentifier. La routeur IPL-G12 peut utiliser la clé pour toutes les connexions (ycompris pour les connexions avec des utilisateurs distants) ou bien utiliser des clés différentes. Le certificat est un fichier complexe qui est utilisé par les routeurs pour s authentifier. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 39

40 Paramètre «Valeur Clé» : Une clé doit être saisie uniquement si l authentification par clé a été choisie. Si l on utilise des clés différentes, le routeur doit posséder une adresse IP fixe ou bien un nom de domaine DYNDNS. Saisir la valeur de la clé qui identifie le routeur. Paramètres «Authentification» et «Cryptage» : Sauf difficulté particulière, on sélectionnera le choix «Auto». Les algorithmes de cryptage et de hachage proposés sont tous d un haut niveau de sécurité (par exemple l ancien algorithme DES n est pas proposé). Toutefois, AES offre une meilleure sécurité par rapport à 3DES, de même que SHA-1 par rapport MD5. Paramètre «DPD Keepalives» : Le VPN est entretenu périodiquement par chaque routeur ; pour ce faire, et en l absence de données à émettre, chaque routeur transmet une trame de maintien du VPN. Ce paramètre fixe la période d envoi de la trame de maintien du VPN. Paramètre «Mort de la connexion» : Ce paramètre fixe le délai maximum d attente d un message Keep alive. Une fois ce délai échu, et en l absence de réception du message Keep alive, le routeur coupe le VPN. ATTENTION : Une fois les paramètres IPSec configurés, cliquer sur le bouton «OK» puis sur le bouton «Enregistrer» avant de configurer une connexion distante. Page 40 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

41 Configurer une connexion IPSEC sortante Adresse IP LAN Connexion sortante GSM INTERNET VPN Réseau IP Adresse IP LAN distant Adresse IP WAN Routeur Adresse IP WAN distant Routeur distant Cliquer sur le bouton «Ajouter une connexion» et choisir «Connexion sortante». Paramètre Adresse WAN distant : L adresse WAN distante est soit l adresse IP fixe Internet du routeur distant, soit son nom de domaine sur DynDns.org. Paramètres «Adresse LAN distante» et «masque du Lan distant» : Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 41

42 L adresse et le masque de sous-réseau LAN distants correspondent à ceux du réseau local des machines distantes. Cas de l authentification par clé partagée Si la clé saisie lors de la configuration du type de VPN (IPSec) doit être utilisée pour la connexion VPN en cours de paramétrage, aucune configuration complémentaire ne doit être effectuée. Si une autre clé doit être utilisée, cocher la case «Utiliser une clé spécifique pour cette connexion» et compléter le paramétrage selon les indications ci-dessous : Paramètre Valeur clé : Saisir la clé. Paramètre Mon adresse IP WAN : Saisir l adresse IP du routeur sur l interface WAN. Cas de l authentification par certificat Paramètre Mon SubjectAlt Name : Il s agit du champ « » du certificat du routeur dont le paramétrage est en cours Ce paramètre est utilisé par le routeur pour s authentifier.. Paramètre SubjectAlt Name distant : Il s agit du champ « » du certificat du routeur distant Ce paramètre est utilisé par le routeur distant pour s authentifier Configurer une connexion IPSec entrante Adresse IP LAN Connexion entrante GSM INTERNET VPN Réseau IP Adresse IP LAN distant Adresse IP WAN Routeur Adresse IP WAN distant Routeur distant Page 42 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

43 Cliquer sur le bouton «Ajouter une connexion» puis choisir «Connexion entrante». Paramètres «Adresse du réseau LAN distant» et : L adresse et le masque de sous-réseau LAN distants correspondent à ceux du réseau local des machines distantes. Cas de l authentification par clé pré partagée : Si la clé saisie lors de la configuration du type de VPN (IPSec) doit être utilisée pour la connexion VPN en cours de paramétrage, aucun paramétrage complémentaire ne doit être effectué. Si une autre clé doit être utilisée, cocher la case «Utiliser une clé spécifique pour cette connexion» et compléter le paramétrage selon les indications ci-dessous : Paramètre Valeur clé : Saisir la clé. Paramètre Mon adresse IP WAN : Saisir l adresse IP du routeur sur l interface WAN. Paramètre Adresse IP WAN distante : Saisir l adresse IP du routeur fr l interface WAN du routeur distant.. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 43

44 Cas de l authentification par certificat : Paramètre Mon SubjectAlt Name : Il s agit du champ « » du certificat du routeur dont le paramétrage est en cours Ce paramètre est utilisé par le routeur pour s authentifier.. Paramètre SubjectAlt Name distant : Il s agit du champ « » du certificat du routeur distant Ce paramètre est utilisé par le routeur distant pour s authentifier. Page 44 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

45 13.3 VPN TLS Paramétrage du protocole TLS / SSL Si l on choisit un tunnel TLS / SSL, l authentification réciproque des routeurs est assurée au moyen des certificats numériques complétés par des codes appelés Login et mot de passe. Des certificats numériques spécifiques peuvent être ajoutés ; néanmoins, pour faciliter les opérations, le routeur IPL-E est livré avec un certificat unique chargé en usine. Pour paramétrer le type de VPN «TLS», sélectionner le menu «Sécurité» puis «VPN», puis «Paramètres VPN». Choisir le type de VPN «TLS», puis cliquer sur le bouton «Propriétés». Paramètres «Numéro de port» et «protocole» : On choisira de préférence le protocole UDP plutôt que TCP pour une meilleure efficacité. Attention : Le numéro de port utilisé pour l interconnexion de routeurs par VPN doit être différent du N de port utilisé pour les connexions d utilisateurs distants. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 45

46 Paramètres «Adresse réseau VPN» et masque réseau VPN : Le tunnel VPN une fois établi est équivalent à une liaison par câble ethernet. Chaque extrémité du tunnel doit avoir une adresse IP. Il s agit d une adresse IP appartenant à un réseau privé et nécessaire pour le fonctionnement du tunnel, mais non visible pour les applications. Cette adresse IP ne doit pas être confondue avec l adresse IP du routeur sur le réseau IP. Cette valeur est utilisée seulement lors de la configuration d'un nœud entrant. Adresse IP du réseau VPN ( par défaut) Adresse IP LAN GSM INTERNET VPN Réseau IP Adresse IP LAN Adresses IP des interfaces WAN Paramètre «délai de détection» : Le VPN est entretenu périodiquement par chaque routeur ; pour ce faire, et en l absence de données à émettre, chaque routeur transmet à l autre une trame de maintien du VPN. A l issue du «délai de détection», et en l absence de réception de cette trame, le VPN est coupé. Paramètre «Délai de retransmission» : A compléter Paramètres «Algorithmes de cryptage et de hachage» : Les algorithmes de cryptage et de hachage proposés sont tous d un haut niveau de sécurité (par exemple l ancien algorithme DES n est pas proposé). Toutefois, AES offre une meilleure sécurité par rapport à 3DES, de même que SHA-1 par rapport MD5. ATTENTION : Une fois les paramètres TLS configurés, cliquer sur le bouton «OK» puis sur le bouton «Enregistrer» avant de configurer un nœud distant. Page 46 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

47 Configurer une connexion TLS sortante Adresse IP LAN Connexion sortante GSM INTERNET VPN Réseau IP Adresse IP LAN distant Adresse IP WAN Routeur Adresse IP WAN distant Routeur distant Sélectionner le menu «Routage» ; cliquer sur «Noeuds distants». Cliquer sur le bouton «Ajouter un noeud» Choisir «Connexion sortante». Paramètre «Identifiant et mot de passe» : Indiquer l'identifiant et le mot de passe qui seront utilisés par le routeur pour s'authentifier auprès du nœud distant en complément du certificat. Paramètre Adresse WAN distante : L adresse WAN distante est soit l adresse IP fixe Internet du routeur distant, soit son nom de domaine sur DynDns.org Configurer une connexion TLS entrante Adresse IP LAN Connexion entrante GSM INTERNET VPN Réseau IP Adresse IP LAN distant Adresse IP WAN Routeur Adresse IP WAN distant Routeur distant Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 47

48 Sélectionner le menu «Routage» ; cliquer sur «Connexions distantes». Cliquer sur le bouton «Ajouter un noeud». Choisir «Connexion entrante». Paramètre «Identifiant et mot de passe» : Indiquer l'identifiant et le mot de passe du routeur distant. Paramètre «Adresse LAN distante» : L adresse et le masque de sous-réseau LAN distants correspondent à ceux du réseau local des machines distantes. Paramètre «Nom commun» : Entrer la valeur du champ "Commun name" du certificat que le routeur distant devra utiliser pour s'identifier. Page 48 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

49 14 Interconnexion de routeurs par le service GSM data à 9600 b/s Cette fonction est fournie par le routeur IPL-G12B seulement. Le service GSM data est un service de transmission de données commuté à 9600 b/s. Il permet de relier des routeurs GSM entre eux ou avec d autres routeurs connectés au réseau téléphonique. Une connexion PPP doit être associée à chaque routeur susceptible de se connecter avec le routeur IPL-G connexions PPP peuvent être créées. Une connexion PPP peut être entrante, si le routeur est seulement appelé par le routeur distant. Elle peut être sortante si le routeur peut seulement appeler vers le routeur distant. Elle peut aussi être sortante et entrante. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 49

50 14.1 Configurer une connexion PPP entrante Pour créer une connexion PPP entrante sélectionner le menu «Routage» puis «connexion distante» puis cliquer le bouton «ajouter une connexion» ; la fiche de la nouvelle connexion apparaît. Paramètre «actif» : Sélectionner Oui pour ajouter la connexion. Sélectionner Non, pour retirer la connexion du réseau tout en conservant ses paramètres en mémoire. Paramètre «Type» : Sélectionner le type «commuté pour établir une connexion PPP avec un autre routeur via le service GSM-data. Paramètre «Nom du neoud» : Saisir un libellé désignant la connexion en évitant les caractères accentués. Paramètre «Direction d appel» : Choisir «Entrante». «@IP du routeur distant» et «Masque réseau distant» : Saisir l adresse IP de l interface du réseau local du routeur distant ainsi que le masque correspondant. Paramètre «Identifiant du nœud» et «Mot de passe du nœud» : Saisir l identifiant et le mot de passe que le routeur distant devra fournir pour être accepté lors d une connexion entrante. Ces paramètres sont obligatoires. Paramètres «Vérifier le N d appelant» et «N d appel»: Si le choix «Oui» est sélectionné, lors d un appel entrant, le routeur établit la connexion et enregistre l identifiant et le mot de passe reçus du nœud distant ; si ces codes ne sont pas en accord avec le N d appel, le routeur libère la ligne. Page 50 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

51 Paramètre «Filtre pare-feu» : Sélectionner le filtre à affecter à cette connexion. Le filtre doit avoir été défini par ailleurs (Menu «Configuration sécurité»). Paramètre «NAT» : Si le choix «Oui» est sélectionné, le routeur remplace toute adresse IP source d une station du réseau local par sa propre adresse siasie dasn le champ «@IP PPP locale». Paramètre «@IP PPP locale» : Saisir, si nécessaire, l adresse IP du routeur sur la liaison PPP. Paramètre «@IP PPP distante» : Saisir, si nécessaire, l adresse IP du routeur du nœud distant sur la liaison PPP. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 51

52 14.2 Configurer une connexion PPP sortante Pour créer une connexion PPP sortante sélectionner le menu «Routage» puis «connexion distante» puis cliquer le bouton «ajouter une connexion» ; la fiche de la nouvelle connexion apparaît. Paramètre «actif» : Sélectionner Oui pour ajouter la connexion. Sélectionner Non, pour retirer la connexion du réseau tout en conservant ses paramètres en mémoire. Paramètre «Type» : Sélectionner le type «commuté pour établir une conenxion PPP avec un autre routeur via le service GSM-data. Paramètre «Nom» : Saisir un libellé désignat la connexion en évitant les caractères accentués. Paramètre «Direction d appel» : Choisir «Sortante». Paramètres «@IP du routeur distant» et «Masque réseau distant» : Saisir l adresse IP de l interface du réseau local du routeur distant ainsi que le masque correspondant. Paramètre «Modem» : Sélectionner le choix «Interne». Note : I est également possile d utliser un modem externe (consulter notre service client). Paramètre «Numéro d appel» : Saisir le N d appel (GSM, ou éventuellement RTC) que doit composer le routeur pour atteindre le nœud distant. Paramètre «Mon identifiant» et «Mon mot de passe» : Saisir l identifiant et le mot de passe que le routeur utilisera pour s authentifier auprès du routeur distant. Page 52 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

53 Paramètre «Time-out inactivité» : Si aucun paquet IP n est reçu ou transmis sur la liaison PPP pendant ce temps, le routeur libère la ligne. Paramètre «Time-out premier paquet» : Dés qu il est connecté, le routeur se met en attente de paquets IP à transmettre ou recevoir. Si aucun paquet n a été reçu ou transmis à l échéance de ce délai, la connexion est libérée. Cliquer sur le bouton «Conf avancée» pour entrer les paramètres complémentaires si nécessaire. Paramètre «Filtre pare-feu» : Sélectionner le filtre à affecter à cette connexion. Le filtre doit avoir été défini par ailleurs (Menu «Configuration sécurité»). Paramètre «NAT» : Si le choix «Oui» est sélectionné, le routeur remplace toute adresse IP source d une station du réseau local par sa propre adresse siasie dasn le champ «@IP PPP locale». Paramètre «@IP PPP locale» : Saisir, si nécessaire, l adresse IP du routeur sur la liaison PPP. Paramètre «@IP PPP distante» : Saisir, si nécessaire, l adresse IP du routeur du nœud distant sur la liaison PPP Configurer une connexion PPP sortante et entrante Pour créer une connexion PPP sortante et entrante sélectionner le menu «Routage» puis «connexion distante» puis cliquer le bouton «ajouter une connexion» ; la fiche de la nouvelle connexion apparaît. Paramètre «actif» : Sélectionner Oui pour ajouter la connexion. Sélectionner Non, pour retirer la connexion du réseau tout en conservant ses paramètres en mémoire. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 53

54 Paramètre «Type» : Sélectionner le type «commuté pour établir une conenxion PPP avec un autre routeur via le service GSM-data. Paramètre «Nom» : Saisir un libellé désignat la connexion en évitant les caractères accentués. Paramètre «Direction d appel» : Choisir «Entrante et sortante» si la connexion peut être établie à l initiative de l un ou de l autre. «@IP du routeur distant» et «Masque réseau distant» : Saisir l adresse IP de l interface du réseau local du routeur distant ainsi que le masque correspondant. Paramètre «Modem» : Indiquer si la connexion avec ce nœud distant doit utiliser le modem interne (le modem GSM inclus dans le routeur). Paramètre «Numéro d appel» : Saisir le N d appel (GSM, ou éventuellement RTC) que doit composer le routeur pour atteindre le nœud distant. Paramètre «Mon identifiant» et «Mon mot de passe» : Saisir l identifiant et le mot de passe que le routeur utilisera pour s authentifier auprès du routeur distant lors d une connexion sortante. Paramètre «Identifiant du nœud» et «Mot de passe du nœud» : Saisir l identifiant et le mot de passe que le routeur distant devra fournir pour être accepté lors d une connexion entrante. Ces paramètres sont obligatoires. Paramètre «Time-out inactivité» : Si aucun paquet IP n est reçu ou transmis sur la liaison PPP pendant ce temps, le routeur libère la ligne. Paramètre «Time-out premier paquet» : Dés qu il est connecté, le routeur se met en attente de paquets IP à transmettre ou recevoir. Si aucun paquet n a été reçu ou transmis à l échéance de ce délai, la connexion est libérée. Page 54 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

55 Cliquer sur le bouton «Conf avancée» pour entrer les paramètres complémentaires si nécessaire. Paramètre «Vérifier le N d appelant» : Si le choix «Oui» est sélectionné, lors d un appel entrant, le routeur établit la connexion et enregistre l identifiant et le mot de passe reçus du nœud distant ; si ces codes ne sont pas en accord avec le N d appel, le routeur libère la ligne. Paramètre «Filtre pare-feu» : Sélectionner le filtre à affecter à cette connexion. Le filtre doit avoir été défini par ailleurs (Menu «Configuration sécurité»). Paramètre «NAT» : Si le choix «Oui» est sélectionné, le routeur remplace toute adresse IP source d une station du réseau local par sa propre adresse siasie dasn le champ «@IP PPP locale». Paramètre «@IP PPP locale» : Saisir, si nécessaire, l adresse IP du routeur sur la liaison PPP. Paramètre «@IP PPP distante» : Saisir, si nécessaire, l adresse IP du routeur du nœud distant sur la liaison PPP. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 55

56 15 Mise en œuvre de fonctions de routage Une fois les connexions (VPN TLS ou IPsec ou PPP) créées, les machines connectées au routeurs sont automatiquement interconnectées. Néanmoins, la fonction «Route statique» permet à un routeur de transmettre des trames IP destinées à des machines même si elles n appartiennent pas au réseau connecté à l autre extrémité du VPN. De plus, la fonction appelée DNAT permet à un routeur de renvoyer toutes les trames qui lui sont adressées sur un port défini depuis le réseau IP vers un machine définie. Cette fonction peut être, par exemple, une alternative à l établissement d un VPN Route statique La fonction «Route statique» permet à un routeur de prendre la décision de router une trame IP même si l adresse de destination n appartient pas à un réseau décrit au menu connexion distante. Une route statique est un tableau qui décrit un réseau de destination (@ IP & netmask) ainsi que l adresse IP du routeur vers lequel il faut transmettre les trames pour parvenir au réseau de destination «caché. Ce routeur peut être un routeur raccordé au réseau local ou bien un routeur connecté à un réseau distant à travers un VPN (Seulement TLS). Page 56 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

57 Exemple : Network /24 Router 4 Network / Router VPN Router 2 Network / Network /24 IP network VPN Router Route statique à programmer dans le routeur 1: Active Nom de la Destination Masque de Passerelle route réseau Oui Network Route statique à programmer dans le routeur 3: Active Nom de la Destination Masque de Passerelle route réseau Oui Network Oui Network Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 57

58 Pour programmer une route statique, sélectionner le menu «Routage» puis «Route statique» puis cliquer «Ajouter une route. Paramètre «Nom de la route» : Entrer un mnémonique pour désigner la route. Paramètres «Adresse IP de destination» & «netmask» : Entrer l adresse IP du réseau de destination et le netmask de ce réseau. Paramètre «Passerelle» : Saisir l adresse Ip du routeur par défaut. Page 58 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

59 16 Substitution d adresses (NAT, Redirection de port, NAT avancé) Le routeur IPL-G12 offre différentes fonction de substitution d adresses IP. Ces fonctions consistent à remplacer l adresse IP et le port source ou destination de certaines trames IP traitées par le routeur Translation d adresse (NAT) Cette fonction s applique uniquement lorsqu une connexion est établie à l initiative d un équipement raccordé à l interface LAN du routeur IPL- G12 en direction du réseau GSM. Elle consiste à remplacer l adresse IP source (celle de l équipement du LAN) par l adresse IP WAN du routeur et à effectuer l opération inverse pour les trames de réponse. Cette fonction est utile lorsque les équipements du LAN doivent échanger des trames avec un équipement de l Internet. Pour activer la fonction NAT, sélectionner le menu «Configuration» puis «Interface WAN», puis «Protocole IP». Cocher la case «Activer la translation d adresse NAT» Redirection de port Principe Cette fonction s applique uniquement lorsqu une connexion est établie à l intiative d un équipement raccordé à l interface WAN du routeur IPL-G12 en direction du réseau LAN (réseau local raccordé au routeur IPL-G12). La redirection de port consiste à transférer vers une machine définie du réseau LAN, un trafic adressé au routeur IPL-G12 sur son interface GSM. Elle s applique aux trames adressées au routeur IPL-G12 sur l interface GSM. Le critère de «redirection» est le N du port utilisé ; le mécanisme consiste à utiliser le N de port de destination comme un complément d adresse IP : Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 59

60 Une trame IP adressée sur l interface WAN au routeur IPL-G12 sur un port déterminé P1 (ou un ensemble de ports) peut être redirigée vers un équipement déterminé du réseau LAN. Le mécanisme de redirection de port décrit ci-dessus permet de résoudre le cas où un équipement appartenant au réseau WAN veut échanger des trames IP avec une ou des équipements du réseau LAN alors que les adresses du réseau LAN ne peuvent être transportées dans le réseau WAN. La vraie solution à ce problème est d établir un VPN ; mais lorsque ce n est pas possible la redirection de port apporte la solution. Exemple : Supposons qu un équipement distant ait à communiquer avec un équipement PLC1 sur le port TCP 102, un autre équipement PLC2 sur le port TCP 502 et enfin un PC sur le port 80. INTERNET GSM PLC TCP : 102 PLC TCP : 502 PC TCP : 80 Le plus simple serait d établir un VPN ; si ce n est pas possible, on peut programmer une règle DNAT de translation d adresse et de port de destination comme suit : Internet / WAN LAN translation Service Device Service TCP / TCP / 102 TCP / TCP / 502 TCP / TCP / Configuration Pour programmer une règle de redirection de port, Sélectionner le menu «Système» puis «Internet», puis «Routage» Sélectionner le N de port de destination des trames à rediriger, Sélectionner l adresse IP et le N de port de l équipement vers lequel ces trames doivent être redirigées. Page 60 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

61 16.3 Substitution généralisée d adresses IP (NAT avancé) Principe La fonction de substitution d adresses IP consiste à modifier les adresses de source et / ou de destination ainsi que le N de port des trames IP qui transitent par le routeur. Elle s applique à toute trame IP reçue par le routeur aussi bien sur son interface LAN que sur son interface WAN hormis aux trames véhiculées dans une connexion d utilisateur distant PPTP ou TLS. Elle s applique aux trames dont la destination est le routeur IPL-AD2 luimême aussi bien qu aux trames dont la destination est un équipement du réseau relié directement ou non à l interface WAN ou à l interface LAN. On distingue la fonction DNAT qui consiste à remplacer l adresse IP et le port de destination, la fonction SNAT qui consiste à remplacer l adresse IP source. Puisque cette fonction consiste à modifier les adresses de source et / ou de destination des trames IP qui transitent par le routeur, il est important de préciser si le firewall traite des trames IP dont les adresses ont été déjà substituées ou non. L ordre dans lequel s effectue la substitution modifie en effet la manière de configurer les règles du filtre principal du firewall. Les traitements de substitution s effectuent comme suit : Direction WAN vers le LAN WAN DNAT Routeur FIREWALL SNAT LAN LAN vers le WAN WAN SNAT FIREWALL Routeur DNAT LAN Le fonction de substitution décrite ci-dessus (on dit aussi translation) est utile dans des cas très particuliers : Pour router des trames par un chemin Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 61

62 de secours, par exemple, ou encore pour adapter un réseau ancien à un nouveau plan d adresses IP (Mapping) Configuration Pour mettre en œuvre la fonction NAT avancée, sélectionner le menu «Routage» puis «NAT avancé». Page 62 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

63 Pour créer une règle de substitution d adresse de destination (DNAT), MISE EN SERVICE cliquer sur le bouton «Ajouter une règle». La fenêtre de création s affiche : Sélectionner Oui pour rendre la règle active. Saisir les critères de substitution : Adr. IP source Adr. IP destination Protocole (TCP, UDP, ) Port source Port destination Saisir la nouvelle destination des trames répondant aux critères décrits ci-dessus : Adr. IP et port de destination. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 63

64 Pour créer une règle de substitution d adresse source (SNAT), cliquer sur le bouton «Ajouter une règle». La fenêtre de création s affiche/ Sélectionner «Oui» pour rendre la règle active. Saisir les critères de substitution : Adr. IP source Adr. IP destination Protocole (TCP, UDP, ) Port source Port destination Saisir la nouvelle destination des trames répondant aux critères décrits ci-dessus : Adr. IP source. Page 64 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

65 17 Connexion des utilisateurs distants (3G-GPRS-EDGE) 17.1 Principes Le routeur IPL-G12 permet à un utilisateur distant de connecter son PC au réseau local avec un niveau de sécurité élevé en utilisant l Internet. La connexion ne peut être établie que si une adresse publique, dynamique ou fixe, est attribuée au routeur IPL-G12 sur le réseau GSM. Si cette adresse est publique mais dynamique, il est possible d utiliser le service Dyn DNS. Si cette adresse est privée, la conexion RAS vers le routeur n est pas possible. Dans ce cas, le service M2Me_Conenct constitue une bonne solution. Le routeur IPL-G12 permet de mettre en œuvre des connexions réellement sûres entre des PC distants d une part et le réseau LAN d autre part : L utilisateur distant est authentifié par un login, un mot de passe et éventuelement un certificat. Les données sont cryptées. Le domaine accessible à l utilisateur distant est limité par le firewall. 3 types de VPN sont proposés : PPTP, L2TP/IPSec et TLS/SSL. Une fois l un de ces types de VPN sélectionné, il s applique à tous les utilisateurs. TLS/SSL est le type qui offre le plus de souplesse tout en garantissant un niveau de sécurité équivalent à L2TP/IPSec. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 65

66 17.2 Paramétrage d une connexion distante de type TLS Etape 1 : Configuration du routeur Sélectionner le menu «Système» puis «Securité» puis «VPN», puis «paramètres VPN». A l alinéa «Accès distant utilisateurs», sélectionner le choix TLS pour assurer la compatibilité avec le logiciel M2Me_Secure. Cliquer le bouton «Propriétés». Paramètres «Numéro de port» et «protocoles» : Choisir le protocole de transport du VPN (UDP ou TCP) ; UDP est préférable à TCP. Attention : Le numéro de port utilisé pour l interconnexion de routeurs par VPN doit être différent du N de port utilisé pour les connexions d utilisateurs distants. Paramètres «Authentification des utilisateurs» : Si l on choisit la valeur «Login / mot de passe», l authentification est réalisée à l aide de ces deux codes uniquement. Si l on choisit la valeur «Login / mot de passe et certificat numérique», la sécurité est renforcée. Le PC distant est authentifié au moyen du certificat enregistré dans le PC et l utilisateur est identifié au moyen du login et du mot de passe. Note : dans ce cas, le nom du certificat du PC de l utilisateur devra être enregistré dans le routeur IPL-G12, dans la fiche de l utilisateur. Paramètres «Algorithme de cryptage» et «Algorithme de hachage» : Page 66 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

67 Laisser les valeurs par défaut. Etape 2 : Configuration du logiciel M2Me_Secure du PC A bord du PC, nous conseillons d utiliser le logiciel M2Me_Secure, le client VPN TLS proposé par ETIC Telecom. Il fonctionne sous Windows XP et Seven 32 bits (Seven 64 en cours). Cliquer l icône «Menu» puis «Nouveau site». La fenêtre de paramétrage du site apparaît. Sélectionner l onglet «Général», saisir le nom du site. Sélectionner l onglet «Connexion» ; cocher la case «Ce site est accessible par Internet». Dans le champ «Nom d hote ou adresse IP», saisir l adresse IP permettant d atteindre le routeur. Sélectionner l onglet «Avancé» ; Choisir le protocole (UDP ou TCP), le N du port et les algorithmes de cryptage et hachage. Ces paramètres doivent avoir la même valeur que ceux sélectionné dans le routeur. On se reportera à la notice du logiciel pour plus de détail. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 67

68 17.3 Paramétrage d une connexion distante de type PPTP Etape 1 : Configurer le routeur Sélectionner le menu «Système» puis «Securité» puis «VPN», puis «paramètres VPN». A l alinéa «Accès distant utilisateurs», sélectionner le choix «PPTP». Etape 2 : Configurer la connexion PPTP dans le PC Voir procédure en annexe 2. Page 68 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

69 18 Connexion d utilisateurs distants par le service M2Me_Connect 18.1 Présentation Principe Il arrive fréquemment que la connexion entre le PC et le routeur sur l Internet et le réseau 3G ou GPRS ne soit pas possible parce que ni le PC ni le routeur ne disposent d adresses IP publiques, ou bien pour d autres raisons techniques. Le service M2Me_Connect permet de résoudre la difficulté : Grâce à M2Me_Connect, le PC se connecte à la machine pour une opération de maintenance par exemple, même si, ni le PC ni le routeur ne possèdent d adresse publique. Fonctionnement L utilisateur du PC enregistre dans son logiciel M2Me_Secure le nom du certificat d authentification du routeur IPL-G12. Lorsque l utilisateur ouvre son logiciel M2Me_Secure, son PC établit automatiquement une connexion sécurisée vers le service M2Me_Connect, Il s authentifie sur le service. De son côté, le routeur fait de même dés qu il est sous tension. Une fois connectés au service, et après authentification réciproque, le PC et le routeur établissent un VPN de bout en bout. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 69

70 18.2 Paramétrage d une connexion au service M2Me_Connect Etape 1 : Paramétrage du routeur Sélectionner le menu «Internet» puis «Compte». Paramètre «M2Me_Connect» : Sélectionner le choix «oui» pour activer la connexion au service M2Me_Connect. Cliquer le bouton «Propriétés pour régler la connexion au service M2Me_Connect». Paramètres «Port TCP et paramètres «Port UDP» : Cocher tous les ports UDP ou TCP que le routeur doit tester afin de tenter d établir la connexion vers le service M2Me_Connect. Si un port UDP ou TCP unique a été autorisé, cocher la case correspondante ou bien saisir la valeur de ce N de port TCP ou UDP. Note : L utilisation du protocole UDP est préférable à TCP. Si un serveur proxy filtre les connexions sortantes, cocher la case «Utiliser un serveur proxy» et saisir les paramètres de ce serveur : Paramètres «Serveur proxy» : Désélectionner la case à cocher «Utiliser un serveur proxy». Tester la connexion Pour commander la connexion du routeur au service M2Me_Connect, cliquer le bouton «Connecter maintenant». Pour vérifier que la connexion s effectue normalement, sélectionner le menu «Diagnostic» puis «Etat réseau» puis «M2Me». Lorsque la connexion aboutit, le message «Connecté» s affiche dans le champ «Etat» ainsi que le N de port et le protocole utilisé. Désélectionner les ports inutilement sélectionnés Si trop de ports sont scannés par le routeur, le délai de connexion est augmenté inutilement Il est donc conseilé de déselectionner tous les ports hormis celui qui a permis la connexion. Page 70 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

71 Etape 2 : Paramétrage du logiciel M2Me_Secure du PC distant Ouvrir le logiciel M2Me_Secure et saisir l identificateur et le mot de passe de l utilisateur (c est celui qui sera ensuite contrôlé par le routeur pour identifier l utilisateur du PC). Pour créer la connexion avec le site du routeur, cliquer l icône «Menu» puis «Nouveau site». Sélectionner l onglet «Général», et saisir le nom du site du routeur (ce libellé n a qu un rôle mnémonique). Sélectionner l onglet «Connexion» ; cocher les cases «Ce site est accessible par Internet» et «Ce site est visible à travers le service M2Me». Saisir le code appelé «Product key» ; on le trouve dans le menu «A propos» du routeur. Il s agit du résumé du certificat d authentification enregistré dans le routeur en usine; il permet au PC de s adresser au routeur lorsque l un et l autre sont connectés au service M2Me_Connect. 19 Connexion d utilisateurs distants (service GSM data) Cette fonction est fournie par le routeur IPL-G12B seulement Principe Si le routeur a été paramétré pour l usage du service GSM data, un PC distant équipé d un modem peut se connecter au routeur. Le PC distant doit être équipé d un modem pour réseau téléphonique ou d un modem GSM. Le PC doit établir une connexion de type PPP avec le routeur. L utilisateur distant doit déclarer son login et mot de passe qui sont contrôlés par le routeur (voir liste d utilisateurs). Le login par défaut est admin et le mot de passe admin. Une seconde connexion distante peut être établie en connectant au port RS232 du routeur un modem GSM ou pour réseau téléphonique. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 71

72 Remarque : Le logiciel M2Me_Secure permet la mise en oeuvre simple de ce type de connexion Configuration d un connexion utilisant le modem interne Sélectionner le menu «Système» puis «Sécurité» puis «VPN», puis «paramètres VPN». A l alinéa «Accès distant utilisateurs», sélectionner le choix «Aucun» Configuration d une connexion utilisant le modem externe Sélectionner le menu «Système» puis «Sécurité» puis «VPN», puis «paramètres VPN». A l alinéa «Accès distant utilisateurs», sélectionner le choix «Aucun». Sélectionner le menu «Modem». A l alinéa «Modem externe», cliquer «Activer» et «spécifier la chaîne d utilisation du modem». Entrer la chaîne d initialisation appropriée au modem externe. Page 72 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

73 20 Paramétrage de la liste d utilisateurs 20.1 Présentation La liste d utilisateurs du routeur enregistre les utilisateurs autorisés à se connecter et leurs paramètres ( ) et droits associés. Cette liste désigne les utilisateurs distants qui sont autorisés à accéder au réseau local à distance. Lorsqu un utilisateur est connecté, tout se passe comme si son PC était raccordé directement sur le réseau local. Une adresse IP de ce réseau est automatiquement attribuée au PC distant. La seule restriction concerne les trafics broadcast et multicast qui sont bloqués, à l exception du trafic Netbios qui, lui, est autorisé. Le pare-feu (ou firewall) permet de limiter le domaine d adresses IP accessible à chaque utilisateur. Chaque ligne de la liste d utilisateurs comporte 2 champs : Le nom de l utilisateur et le filtre de pare-feu qui lui est affecté. A la livraison, elle comporte l utilisateur «default user» dont les caractéristiques sont les suivantes : Nom d utilisateur : admin Mot de passe : admin Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 73

74 20.2 Définir des utilisateurs Visualiser ou modifier la fiche d un utilisateur Cliquer sur le bouton «Voir» ou bien sur «Modifier» Ajouter un utilisateur Cliquer sur le bouton «ajouter un utilisateur». Le paramètre «Actif» (valeur OUI ou NON) permet de retirer temporairement un utilisateur de la liste. Paramètre «Nom complet» : C est le libellé qui apparaît dans le premier champ de la liste des utilisateurs autorisés. Il permet en particulier de garder la trace de chaque connexion de l utilisateur dans le journal. Paramètres «Nom d utilisateur» et «mot de passe» : Ce sont deux codes différents attribués à chaque utilisateur. Lorsqu il se connecte à distance, il doit saisir ces deux codes dans les champs correspondants de la fenêtre de CONNEXION DISTANTE. Le nom d utilisateur n a pas à être tenu secret ; il apparaît donc toujours en clair. Le mot de passe doit être gardé secret par chaque utilisateur ; il n apparaît jamais en clair. Paramètre « » : Il sera utilisé par le routeur soit pour transmettre un d alarme à la suite du passage en défaut de l entrée TOR, soit lorsque l utilisateur souhaite se connecter par l Internet ; dans ce cas, l adresse IP publique du routeur peut lui être transmise par . Paramètre «Filtre pare-feu» : Sélectionner le filtre à appliquer à l utilisateur pour limiter le domaine accessible. Voir paragraphe Firewall. Page 74 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

75 Paramètre»Certificat» : Ce paramètre n apparaît que si l on a choisi un VPN L2TP/IPSec ou TLS/SSL avec authentification par Certificat numérique. Il décrit les champs du certificat qui doivent être contrôlés par le routeur. 21 Firewall 21.1 Présentation Le firewall (ou pare-feu) a pour but de filtrer les échanges de trames IP entre l interface WAN (interface avec le réseau GSM) et l interface LAN pour protéger les équipements connectés au réseau LAN. Il comporte deux parties : Le filtre principal Il permet de rejeter les tentatives de connexion non authentifiées sur l Internet hormis les connexions VPN, les trames IP adressées à l interface GSM du routeur IPL-G12 et dont le N de port est autorisé par une régle de «redirection de port (DNAT)». Les connexions d utilisateurs distants authentifiés (PPTP, TLS, L2TP/IPSec, PPP). Les filtres d «Utilisateur distant» Ils permettent d autoriser ou d interdire l accès à chaque équipement connecté à l interface LAN en fonction de l identité de l utilisateur distant (Login et mot de passe et éventuellement certificat) lorsqu il se connecte au moyen de la connexion PPTP ou TLS. Par exemple, on peut attribuer à l utilisateur de login «admin» et de mot de passe «admin» un filtre bloquant toutes les trames issues de son PC sauf celle qui sont adressées à un équipement particulier de l interface LAN. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 75

76 21.2 Filtres d utilisateurs Présentation Les filtres d utilisateur s appliquent aux trames IP circulant dans une connexion distante d utilisateur (TLS ou PPTP ou L2TP/IPSec). On peut composer 25 filtres d utilisateur au maximum. Un filtre d utilisateur est un ensemble d adresses IP de destination autorisées sur le réseau LAN. Exemple : Le filtre ci-dessous autorise l accès à l équipement PLC1 sur les portstcp/80 et TCP/502. Nom du filtre : Accès à l automate en html Politique du filtre : Tout ce qui n est pas autorisé est interdit Action Machine Service Autoriser PLC TCP / 80 Autoriser PLC TCP / Modbus 502 Chaque filtre doit être attribué à au moins un utilisateur pour être rendu actif. Note importante : A la livraison du produit, un utilisateur par défaut est enregistré; son login est «admin» et son mot de passe «admin». Le filtre appelé «none» lui est affecté. Ce filtre autorise l accès à tous les équipements du réseau LAN. Page 76 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

77 Configuration des filtres utilisateurs Etape 1 : Compléter la liste des services si nécessaire Note importante : de nombreux services sont créés en usine, tel que html, ftp etc, si bien que dans la plupart des cas, cette étape peut être passée. Sélectionner le menu «Configuration», «Système» puis «Liste des services» ; la liste des services déjà enregistrés s affiche. Ajouter un nouveau service en cliquant le bouton «Ajouter un service» en bas de l écran. Enregistrer un libellé (le nom que vous souhaitez donner au service), sélectionner un protocole dans la liste proposée (udp, tcp, icmp) et désigner le N de port attribué à ce service. Valider. Le service qui vient d être créé apparaît maintenant dans la liste des services. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 77

78 Etape 2 : Définir la liste des machines du réseau local Sélectionner le menu «Configuration», «Système» puis «Liste des machines» ; la liste des machines déjà enregistrées s affiche. Ajouter une nouvelle machine en cliquant le bouton «Ajouter une machine» en bas de l écran. Enregistrer un libellé (le nom que vous souhaitez donner à la machine) et saisir son adresse IP. Valider. La machine qui vient d être définie apparaît maintenant dans la liste des machines. Remarque : Après cette étape, il est nécessaire de redémarrer le routeur. Etape 3 : Composer un filtre Utilisateur Sélectionner le menu «sécurité» puis «pare-feu «puis «Filtres Utilisateurs» ; la liste des filtres déjà enregistrés s affiche. Créer un nouveau filtre en cliquant le bouton «Nouveau filtre». Page 78 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

79 Saisir un libellé (le nom que vous souhaitez donner au filtre) ; exemple de libellé : Accès au serveur web de l automate N 1 MISE EN SERVICE Cliquer sur le bouton radio «On désigne ce que l'on autorise et tout le reste est interdit» si vous souhaitez que chaque règle désigne ensuite une machine explicitement autorisée ; c est la solution prudente. Cliquer sur le bouton radio «On désigne ce que l'on interdit et tout le reste est autorisé» si vous souhaitez que chaque règle désigne ensuite une machine interdite. Cliquer sur le bouton «ajouter une règle» ; une ligne s ajoute dans le tableau du filtre. Sélectionner une machine (autorisée ou interdite selon le cas) puis un service. Ajouter autant de règles que nécessaire en cliquant sur «ajouter une règle». Lorsque le filtre est complet, valider en cliquant le bouton OK puis sauvegarder. La liste actualisée des filtres s affiche. Etape 4 : Affecter les filtres aux utilisateurs Une fois la liste de filtres composée, il faut les rendre actifs en les affectant aux utilisateurs. Sélectionner le menu «Configuration» puis «Utilisateurs». Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 79

80 Sélectionner l utilisateur de la liste auquel vous souhaitez affecter un filtre, en cliquant le bouton «Modifier» ; la fiche de l utilisateur apparaît. Lui affecter un filtre en sélectionnant l un des filtres proposés et valider par «OK». Sauvegarder la liste d utilisateurs modifiée en cliquant «sauvegarder la liste». Page 80 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

81 22 Configuration des passerelles série 22.1 Présentation des types de passerelles La passerelle série permet d utiliser un réseau IP pour faire communiquer des équipements série entre eux ou bien avec d autres équipements raccordés au réseau IP. Communication entre équipements à interface série Communication avec une application sur PC windows prévue initialement pour dialoguer par la liaison série. Le logiciel d émulation de port COM Be-IP est une passerelle software qui permet d utiliser sur un réseau IP un logiciel d application conçu initialement pour communiquer sur une liaison série. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 81

82 Communication avec application sur PC capable d encapsuler un protocole série dans UDP ou TCP (modbus TCP par exemple) Pour réaliser les fonctions décrites ci-dessus et s adapter aux différentes situations qu il est possible de rencontrer, différents types de passerelles sont proposées : 1 er type : Passerelle Modbus Ce type de passerelle permet de raccorder à la liaison série un équipement modbus maître, ou bien des équipements modbus esclaves ou bien les deux, pour les faire communiquer avec d autres équipements modbus TCP ou modbus asynchrones connectés au réseau IP. 2eme type : Passerelle transparente point à point Cette passerelle est appelée RAW TCP client ou RAW TCP serveur ; elle permet de relier un équipement asynchrone à un équipement du réseau IP. 3eme type : Passerelle Telnet Cette passerelle permet à un PC sur le réseau IP et équipé d un logiciel client Telnet de se connecter à un équipement serveur Telnet raccordé à la liaison série du switch XSLAN. Le débit et le format de la liaison série peuvent être pilotés selon la recommandation RFC2217. Page 82 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

83 22.2 Passerelle Modbus La passerelle Modbus permet de connecter des équipements série RS232-RS485 esclaves ou maître à un ou plusieurs équipements modbus TCP (clients ou serveurs selon le cas) connectés au réseau IP Définitions Un client TCP MODBUS est un équipement connecté au réseau IP et capable de transmettre une requête Modbus (par ex. une demande de lecture ou d écriture) à un autre équipement du réseau appelé serveur TCP MODBUS qui lui répondra. Le client est l équivalant d un maître Modbus, mais plusieurs clients peuvent poser des questions au même serveur. Un serveur TCP MODBUS est un équipement connecté au réseau IP et capable de répondre à une requête Modbus posée par un autre équipement du réseau appelé client TCP MODBUS. Le serveur est l équivalant d un esclave Modbus ; mais un serveur peut répondre à plusieurs client. Un maître Modbus est un équipement connecté à la liaison série RS232 ou RS485 et capable de poser une requête Modbus à un autre équipement du réseau appelé esclave MODBUS. Un esclave Modbus est un équipement connecté à la liaison série RS232 ou RS485 et capable de poser une question Modbus à un autre équipement du réseau qui est appelé esclave MODBUS. Adresse Modbus : Elle code entre 0 et 255 le destinataire d une requête modbus adressée à un serveur modbus (réseau IP) ou à un esclave modbus (liaison série). Attention : Ne pas confondre adresse modbus et adresse IP. Pour plus de concision le mot «adresse» est souvent remplacé par le dans la suite du texte. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 83

84 Choix de la passerelle Client ou de la passerelle Serveur Pour connecter des équipements «série» esclaves modbus à un ou plusieurs équipements TCP modbus client, sélectionner le menu passerelle «Modbus serveur». Pour connecter un équipement «série» maître modbus à un ou plusieurs équipements TCP modbus serveur, sélectionner le menu passerelle «Modbus client» Passerelle modbus client La passerelle modbus client permet la connexion d un maître modbus sur la liaison série. Plusieurs serveurs TCP modbus peuvent être adressés sur le réseau ip. D autres esclaves peuvent être connectés à la liaison série. Principe de la passerelle modbus Client : Pour adresser un serveur TCP modbus sur le réseau IP, on configure une table de correspondance entre modbus esclave et IP ; ainsi, lorsque le maître modbus transmet une requête à destination de l esclave modbus A, le tableau de correspondance permet de transmettre cette requête à IP correspondant à A. De plus, le champ adresse modbus de la trame modbus TCP prend la valeur A. Le tableau de correspondance peut comporter 32 lignes permettant ainsi à un maître modbus d adresser 32 serveurs sur le réseau IP. Page 84 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

85 Configuration de la passerelle modbus Client : Sélectionner le menu «Passerelle IP-RS», puis cliquer le menu «Modbus» puis «Modbus client». Cocher «activer la passerelle». Paramètre «Sélection du port» : Choisir la liaison série 1 ou 2 du routeur. Bouton «COM» : Permet de configurer les paramètres débit et format de la liaison série. Protocole Modbus : Sélectionner RTU (hexadécimal) ou ASCII selon le besoin. Temps inter caractères : Fixe le temps maximum admissible entre caractères des réponses de l esclave modbus. Timeout d'inactivité sur TCP : Fixe le temps au bout duquel la liaison TCP est rompue en cas d absence de requêtes modbus reçues du réseau IP. Numéro du port TCP : Fixe le N du port TCP à utiliser. Le N de port modbus par défaut est 502. Tableau de correspondance : Le tableau de correspondance permet de faire correspondre une adresse d esclave modbus et une adresse IP. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 85

86 Passerelle modbus serveur La passerelle permet la connexion d esclaves modbus sur la liaison série. 32 esclaves, au maximum, peuvent être connectés au port RS485. Principe de la passerelle Modbus serveur : Un client TCP modbus adresse une requête TCP modbus à la passerelle ; La passerelle se comporte en maître sur la liaison série. Elle «répète» la requête sur la liaison série ; l adresse de la requête émise sur la liaison série est, soit l adresse contenue dans le champ d adresse modbus TCP, dans ce cas, plusieurs esclaves peuvent être adressés sur la liaison série : Page 86 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

87 soit une adresse fixe configurée dans la passerelle (voir ci-dessous) ; dans cas, un seul esclave peut être adressé sur la liaison série : Attention : Plusieurs client TCP modbus peuvent adresser des requêtes aux esclaves de la liaison série. Néanmoins, on prendra garde à ne pas saturer la liaison série puisque son débit est bien inférieur à celui d ethernet. Configuration de la passerelle Modbus serveur : Sélectionner le menu «Passerelle IP-RS», puis cliquer sur «Modbus», puis «Modbus serveur». Cocher «activer la passerelle». Paramètre «Sélection du port» : Choisir la liaison série 1 ou 2 du routeur. Bouton «COM» : Permet de configurer les paramètres débit et format de la liaison série. Protocole Modbus : Sélectionner RTU (hexadécimal) ou ASCII selon le besoin. Activer la fonction proxi-cache : Si cette fonction est active, une requête n est adressée à un esclave que si la même requête ne lui a pas été adressée depuis le temps fixé par le paramètre «rafraîchissement du cache. Rafraîchissement du cache : Fixe le délai minimum entre deux requêtes identiques adressées au même esclave. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 87

88 Temps d attente réponse esclave : C est le délai d attente de réponse à la requête adressée à un esclave. Nombre de réitérations : Fixe le nombre de réitérations d une requête modbus par le routeur en cas de non réponse de l esclave modbus. Temps inter caractères : Fixe le temps maximum admissible entre caractères des réponses de l esclave modbus. Adresse esclave Modbus : Si la valeur «spécifiée par le client modbus» est sélectionnée, la passerelle utilise l adresse modbus spécifiée par le client modbus pour adresser l esclave modbus de la liaison série ; on peut ainsi adresser jusqu à 32 esclaves de la liaison série. Si l on sélectionne une valeur particulière (entre 1 et 255), la passerelle adresse toutes les requêtes au N d esclave sélectionné ; on ne peut interroger qu un seul esclave sur la liaison série. Time out d'inactivité sur TCP : Fixe le temps au bout duquel la liaison TCP est rompue en cas d absence de requêtes modbus reçues du réseau IP. Numéro du port TCP : Fixe le N du port TCP à utiliser ; le port par défaut est 502. Page 88 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

89 22.3 Passerelle «TCP RAW» Passerelle «TCP RAW» client Elle permet de raccorder un équipement se comportant en «maître» sur la liaison RS232 / RS485 Configuration : Cliquer le menu «passerelle» puis«transparent». Puis «raw client» Cocher «activer la passerelle». Paramètre «Taille du buffer de réception RS232/485» (valeur 1 à 1024) : Fixe la taille maximum, en octets, d un bloc transmis vers le réseau IP. Paramètre «Timeout fin de trame RS232/485» (valeur 10 à 500 ms) : Fixe délai de silence maximum après lequel le buffer de caractères reçus de la liaison RS232-RS485 est transmis vers le réseau IP. Paramètre «Timeout d'inactivité sur socket TCP» (valeur 0 à 5 mn) : Fixe le temps au bout duquel la liaison TCP est rompue en cas d absence de caractères reçus du réseau IP ou de la liaison série. Paramètre «Numéro du port TCP» : Fixe le N du port TCP à utiliser. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 89

90 Paramètre «Adresse IP du serveur Raw TCP» : Fixe l adresse IP à laquelle sont transmis les caractères reçus de la RS232 / RS485 (c est l adresse du serveur RAW).) Passerelle «RAW TCP serveur» Elle permet de raccorder des équipements «esclaves» sur la liaison RS232-RS485. L équipement de la liaison série peut ainsi communiquer avec un PC Cient RAW TCP. La passerelle «RAW TCP serveur» peut en particulier être utilisée avec profit en association avec le logiciel Be IP d etic dans le cas où il faut faire communiquer par un réseau IP Configuration de la passerelle RAW serveur : Cliquer le menu «passerelle» puis«transparent». Puis «raw serveur» Cocher «activer la passerelle» puis régler les paramètres : Paramètre «Taille du buffer de réception RS232/485» (valeur 1 à 1024) : Fixe la taille maximum, en octets, d un bloc transmis vers le réseau IP. Paramètre «Timeout fin de trame RS232/485» (valeur 10 à 500 ms) : Fixe délai de silence maximum après lequel le buffer de caractères reçus de la liaison RS232-RS485 est transmis vers le réseau IP. Page 90 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

91 Paramètre «Timeout d'inactivité sur socket TCP» (valeur 0 à 5 mn) : Fixe le temps au bout duquel la liaison TCP est rompue en cas d absence de caractères reçus du réseau IP ou de la liaison série. Paramètre «Numéro du port TCP» : Saisir le N du port TCP à utiliser Passerelle Multicast Présentation Cette passerelle est également destinée à relier un équipement asynchrone à un ensemble d équipements du réseau IP. Elle utilise le protocole «Multicast» qui permet de délivrer simultanément une trame IP à de nombreux destinataires sans accroître le trafic : Les données RS232 sont transmises dans une trame IP adressée à une adresse IP particulière appelée adresse multicast ; tous les abonnés à cette adresse décodent la trame. A titre d exemple, on peut utiliser la passerelle multicast dans les cas suivants : Un équipement maître, connecté sur une liaison série, doit émettre des requêtes vers des équipements serveurs sur le réseau IP ou vers d autres équipements série esclaves. Un équipement client ( ou «maître») connecté au réseau IP doit émettre des requêtes vers des équipements serveurs du réseau IP ou des équipements esclaves connecté à une liaison série. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 91

92 L IANA (Internet Assigned Numbers Authority) attribue les adresses ip multicast. L espace d adresses à est fait pour la diffusion entre organisation ou sur l Internet. L espace d adresses à est fait pour la diffusion à l intérieur de réseaux privés. Note Les adresses ci-dessus sont les adresses de destination ; l adresse source est toujours l adresse unicast du produit Configuration Sélectionner le menu «Transparent» puis «multicast» Cocher «activer» puis régler les paramètres ci-dessous : Paramètre «Taille du buffer de réception RS232/485» (valeur 1 à 1024) : Fixe la taille maximum, en octets, d un bloc transmis vers le réseau IP. Paramètre «Timeout fin de trame RS232/485» (valeur 10 à 500 ms) : Fixe délai de silence maximum après lequel le buffer de caractères reçus de la liaison RS232-RS485 est transmis vers le réseau IP. Paramètres «Port UDP pour la réception» et «Port UDP pour l émission» : Fixe les N de port UDP à utiliser. Par défaut la passerelle émet et écoute sur le même numéro de port UDP. Il peut être souhaitable de choisir des ports différents pour l émission et la réception. Par exemple dans une application maître-esclaves, ceci permettra aux différents esclaves de ne recevoir que les trames venant du maître. Attention : Si deux passerelles du même type sont actives sur les deux ports série, elles ne peuvent pas utiliser le même N de port UDP. Paramètre «Adresse IP du groupe multicast» : Saisir l adresse IP attribué au groupe de diffusion (multicast) en respectant les règles de l IANA. Page 92 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

93 22.5 Passerelle Unitelway La passerelle Unitelway permet de connecter un automate série maître unitelway à un réseau IP. Elle permet en particulier de réaliser la fonction de télémaintenance d automates Schneider Electric RS485 via un réseau IP. Cliquer le menu Unitelway Cocher «activer la passerelle». Désigner l adresse Xway de l automate maître et celle des automates esclaves éventuellement raccordés à l interface RS485. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 93

94 23 Fonctions avancées 23.1 Ajouter un certificat Ce menu permet de gérer les certificats X509 utilisés pour les connexions VPN. Chaque produit contient déjà un certificat délivré par ETIC. On peut vouloir cependant utilisé un autre certificat délivré par une autre autorité de certification. Ce certificat peut être introduit soit en format PKCS#12 avec mot de passe ou en en format PEM. Un seul certificat peut être actif à la fois. Attention : Pour pouvoir établir une connexion VPN, les certificats des deux routeurs doivent avoir été délivrés par la même autorité de certification Alarmes SNMP Le routeur dispose d un agent SNMP qui supporte la MIB-II standard et l envoi de TRAP sous certaines conditions. Activer : Si cette case est cochée l agent SNMP est lancé. Adresse IP de la plate-forme d administration : Ce paramètre détermine vers quelle adresse IP les TRAP SNMP vont être envoyés. Valeur de la variable SysName et SysLocation : Ces deux variables sont des champs standard et permettent d identifier d ou provient le TRAP sur la plate-forme d administration SNMP. Envoi de TRAP sur événement : Ces boites à cocher déterminent quel événement et quel TRAP est envoyé suite à cet événement. Page 94 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

95 23.3 Alarme sur changement d état des entrées TOR Lorsque l une des entrées TOR du routeur IPL-G12 change d état, une alarme peut être envoyée, sous forme d un (et donc d un SMS). Sélectioner le menu «Alarme », puis «Entrée 1» ou «Entrée 2» ou «Entrée 3». Paramètre «Activer l'alarme par » : Si cette case est cochée, une alarme par est émise lorsque l entrée TOR change d état. Paramètre «Source de l'alarme» : Ce paramètre permet de déterminer le ou les changements d état qui provoquent l alarme : passage à l état ON (fermé), ou à l état OFF ou bien les deux. Paramètre «Temps de maintien de l'état avant alarme» : Ce paramètre permet de fixer la durée minimale durant laquelle l état d alarme doit être maintenu pour provoquer l envoi de l d alarme (1 à 60 secondes). Paramètre «Destinataire de l'alarme» : Ce paramètre permet de choisir le destinataire de l alarme parmi la liste des utilisateurs autorisés. Note : On peut souhaiter recevoir l alarme sous forme d un message SMS sur un téléphone mobile. Ceci est possible en adressant l d alarme vers une adresse mail ouverte chez l opérateur GSM qui le route ensuite vers le mobile associé. Les opérateurs GSM offrent cette fonction. On consultera notre service hotline pour la mise en œuvre. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 95

96 23.4 Activer le portail web Par défaut, lorsque l on accède au service http (port 80) du routeur on arrive sur le serveur d administration. Il est possible de créer un portail web contenant une liste de machine que l on peut joindre d un simple clic. Ce portail web se substitue au serveur d administration qui reste accessible par le port La liste des machines permet ensuite de construire les filtres du pare-feu pour les connexions des utilisateurs distants et de constituer le «portail» qui peut être affiché comme page d accueil de l utilisateur distant. Sélectionner le menu «Systeme» cliquer sur «Liste des machines» Page 96 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

97 Nom du site : Le nom du site est le libellé qui s affiche en haut à droite de toutes les pages du serveur d administration et du portail. Afficher le portail web : Si cette case est cochée, le portail sera affiché à la place du serveur d administration. Tableau de liste des machines Pour ajouter une machine à la liste, Cliquer le bouton «Ajouter une machine» en bas de l écran. Enregistrer un libellé (le nom que vous souhaitez donner à la machine) et son adresse IP. Valider. La machine qui vient d être créée apparaît maintenant dans la liste des machines. Elle sera affichée dans la page «portail». Pour supprimer une machine de la liste, Assurez-vous au préalable que la machine à supprimer n intervient pas dans une règle de firewall ; si la machine intervient dans une règle de firewall, et que le filtre a en plus été affecté à un ou plusieurs utilisateurs, retirer d abord ce filtre aux utilisateurs en Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 97

98 accédant à la fiche de chacun d entre eux, puis ensuite supprimer ou modifier le filtre ; alors seulement, il devient possible de supprimer une machine. Cliquer le bouton «Suppr.» Valider ; la machine ne fait plus partie de la liste des machines Configurer le serveur DNS Pour la résolution des noms de domaines, le routeur IPL se comporte comme un serveur et un relais DNS. Cette fonction est toujours active. Fonction Relais DNS : Le routeur IPL-G12 se comporte comme un relais DNS : Toute requête DNS qui lui est adressée sur le réseau local sera ré-émise vers le serveur DNS du FAI. Cette fonction est pratique par exemple pour l envoi d depuis une machine. Si les adresses des serveurs DNS du FAI sont obtenus automatiquement à la connexion Internet du routeur, elles ne sont pas connues des machines. Dans ce cas on désigne dans ces machines l adresse du routeur IPL comme serveur DNS. Fonction Serveur DNS : Le routeur IPL se comporte comme serveur DNS pour tous les noms DNS qui ont été définis. Pour définir un nom DNS, il suffit de définir une machine dans la liste des machines. Sélectionner le menu «Systeme» cliquer sur «Liste des machines» Page 98 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

99 La liste des machines permet aussi de construire les filtres utilisateur du pare-feu pour les connexions des utilisateurs distants et de constituer le «portail» qui peut être affiché comme page d accueil de l utilisateur distant. Nom de domaine du site : Le nom de domaine est le suffixe DNS que l on peut saisir pour accéder à une machine. Par exemple, si l on désigne une machine par le libellé «assemblage» et que l on a saisi «grenoble» pour nom de domaine du site, on peut accéder aux services web de cette machine (en local ou à distance à travers un VPN) en tapant «assemblage.grenoble» dans le masque de saisie d adresse du navigateur html. Tableau de liste des machines : Pour ajouter ou supprimer une machine à la liste, voir Activer le portail web. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 99

100 Page 100 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

101 MAINTENANCE 1 Diagnostic visuel de défaut de fonctionnement Après la mise sous tension, le voyant SERVICE clignote durant 30 secondes environ pendant la phase d initialisation du routeur Après ce délai, le voyant passe au vert lorsque le produit est prêt à fonctionner. Si le voyant continue de clignoter, c est probablement que la carte SIM n a pas été insérée ou bien que son code PIN n a pas été désactivé. 2 Sauvegarde et chargement d un fichier de paramètres Une fois configuré, le paramétrage peut être sauvegardé sous forme d un fichier qui peut ensuite être restitué pour faciliter un redémarrage en cas de remplacement du produit par exemple. Pour sauvegarder un fichier de paramètres, sélectionner le menu «Système» puis «Sauvegarde / restauration». Cliquer le bouton «Sauvegarder» puis «Enregistrer» quand la fenêtre apparaît. Désigner le nom du fichier et l emplacement de la sauvegarde. Le fichier a le suffixe.bin. Pour restaurer un fichier de paramètres sauvegardé sélectionner le menu «Système» puis «Sauvegarde / restauration». Cliquer le bouton «Parcourir» puis sélectionner le fichier (XXX.bin) à restituer. Cliquer le bouton «Charger» puis confirmer pour redémarrer le produit. Attention : Un fichier de paramètres ne peut être restauré que dans un produit possédant la même version de firmware que celle avec laquelle le fichier de paramètres a été produit initialement. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 101

102 MAINTENANCE 3 Mise à jour du firmware Elle s effectue en local par la prise Ethernet ou bien, éventuellement, à distance. Etape 1 : Préparation des équipements Préparer un PC et un câble Ethernet. Télécharger le logiciel FTP serveur depuis notre site de maintenance (contacter notre service client). Etape 2 : Téléchargement du firmware Télécharger le firmware depuis notre serveur de maintenance vers le PC et décompresser. Etape 3 : Préparation de la mise à jour : Vérifier que les adresses IP du PC et du produit à mettre à jour sont compatibles. Connecter le PC au produit par la prise Ethernet. Lancer le logiciel TFTP serveur (tftp32.exe) et sélectionner sur le disque du PC, le dossier où est enregistré le firmware. Dans le logiciel TFTP, cliquer le bouton "Show dir" pour visualiser les fichiers du firmware (jffs2root, rfsmini.tgz, u-boot.bin et uimage). Etape 4 : Mise à jour du firmware Lancer le navigateur html et entrer l adresse du produit à mettre à jour. La page d accueil du serveur html du produit ETIC s affiche. Sélectionner le menu «Systeme» puis «Mise à jour». Dans le champ «adresse IP du serveur TFTP», entrer l adresse IP du PC ; elle est inscrite dans le masque "Server Interface" du logiciel TFTP. Cliquer sur «Enregistrer» puis sur «Mise à jour». Le chargement s effectue et la led «Service» clignote. A la fin du chargement, le produit s initialise ; la led «Service» clignote en rouge. Vérifier que la mise à jour a été chargée en contrôlant le N de version dans le menu «A propos». Page 102 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

103 MAINTENANCE 4 Menu Diagnostic Journal des connexions : Sélectionner la page le menu «Diagnostic» puis «Journal» Le journal permet de visualiser l enregistrement horodaté des connexions à distance et des connexions au serveur d administration. Il peut être imprimé. Contrôle de la connexion au réseau local : Sélectionner le menu «Diagnostic» puis «Etat réseau» puis «Status». Le paragraphe «Etat du LAN» indique l adresse MAC, l adresse IP et le débit courant sur le réseau local. Contrôle de la Connexion GSM : Sélectionner le menu «Diagnostic» puis «Etat réseau» puis «Status». Le paragraphe «Connexion modem» donne l état courant de la connexion GSM : Débit de l interface avec le réseau GSM. Diagnostic des connexions VPN : Sélectionner le menu «Diagnostic» puis «Etat réseau» puis «Connexions VPN». Cette page donne la liste et les paramètres techniques des connexions VPN entrantes, sortantes et d utilisateurs qui sont établies. Diagnostic de défaut de fonctionnement d une passerelle série : Sélectionner le menu Diagnostic, puis Etat des passerelles. Cette page permet d afficher l état courant du paramétrage des passerelles, le nombre d octets et de trames échangées et le nombre de trames en erreur. Le lien visualiser permet d afficher en hexadecimal les trames reçues et transmises sur la liaison série. Etat des interrupteurs : Cette page affiche l état présent des micro switches situés sur la face Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 103

104 MAINTENANCE supérieure du serveur RAS. Ping : Cette page permet de commander l émission d une trame «ping» vers une machine du réseau raccordé au routeur. Syslog : Page 104 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

105 UTILISATION On décrit ci-dessous quelques scénarios de connexion d utilisateurs distants. 1 Connexion par Internet au moyen du service M2Me_Connect Le service M2Me_Connect est un service de médiation décrit au paragraphe XX. On décrit la procédure que doit accomplir l utilisateur d un PC isolé ou connecté à un réseau IP pour se connecter à distance au réseau de machines en utilisant le service M2Me_Connect. Ouvrir le logiciel M2Me_Secure et entrer l identificateur et le mot de passe d utilisateur. S il n a pas été prévu que l authentification du PC sur le service M2Me_Connect s effectue automatiquement dés l ouverture du logiciel, sélectionner l icône «Menu» puis «Authentifier sur M2Me». Patienter quelques secondes jusqu à ce que le message «Votre PC est authentifié sur le service M2Me» s affiche dans la barre de contrôle en bas de la fenêtre M2Me. La liste des site s affiche ; ceux qui sont actuellement connectés sur le service M2Me_Connect sont précédés d un voyant vert ou d une caractère «e» de couleur verte. Sélectionner le site et cliquer le bouton «Accéder au site par Internet». La fenêtre «Connexion en cours» s affiche ; puis, quelques secondes après, le message «La connexion avec le site est établie». Une figurine s affiche à côté du nom site pour indiquer que le PC est connecté. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 105

106 UTILISATION Le PC est téléporté sur le réseau distant. Une adresse IP de ce réseau lui a automatiquement été attribué. 2 Connexion VPN au moyen du logiciel M2Me_Secure On décrit ci-dessous la procédure que doit suivre l utilisateur d un PC isolé ou en réseau équipé du logiciel M2Me_Secure fourni par ETIC Telecom pour se connecter à distance à un réseau de machines. Ouvrir le logiciel M2Me_Secure et entrer l identificateur et le mot de passe d utilisateur (admin et admin à la livraison). Sélectionner le site et cliquer le bouton de connexion dont la légende est «Accéder au site par Internet». La fenêtre «Connexion en cours» s affiche ; puis, quelques secondes après, le message «La connexion avec le site est établie». Une figurine s affiche à côté du nom de site pour indiquer que le PC est connecté. Le PC est téléporté sur le réseau distant. Une adresse IP de ce réseau lui a automatiquement été attribué. Note : Pour saisir l adresse IP ou bien le nom de domaine ou le nom de domaine DynDNS de destination, cliquer droit sur la ligne du site, puis sélectionner l onglet Connexion, cocher la case «Ce site est accessible par Internet» et saisir l adresse de destination ou le nom de domaine dans le champ «nom d hote ou adresse IP». Page 106 Notice d utilisation ref Routeur 3G GPRS EDGE IPL-G12

107 UTILISATION 3 Visualisation des entrées et télécommande de la sortie L état des trois entrées peut être visualisé à partir du serveur web. Il est également possible d etélécommander la sortie. Pour visualiser l état des entrées ou télécommander la sortie, Sélectionner le menu «Diagnostic» puis «Contrôle des E/S». Routeur 3G GPRS EDGE IPL-G12 Notice d utilisation ref Page 107

108

109 ANNEXE 1 Arborescence du serveur d administration Système Protocole IP Enregistrer IP attribuée au routeur IPL. Enregistrer attribuée à l utilisateur distant. Ports Ethernet Définir le fonctionnement des ports Ethernet. Liste des utilisateurs Liste des machines Liste des services Date et heure Alimentations Mise à jour Sauvegarde / restauration Redémarrer Routage Noeuds distants Routes statiques VRRP NAT avancé Enregistrer la liste d utilisateurs autorisés et leur attribuer des droits (voir pare-feu). Enregistrer les machines IP auxquelles s appliquera le fire-wall et constituer le «portail» d accueil. Visualiser, sélectionner, modifier la liste des protocoles et ports TCP/UDP Mettre à jour la date et l heure. Réglage du seuil de défaut des alimentations. Charger un nouveau logiciel dans le produit. Sauvegarder la configuration du produit dans un fichier du PC, ou au contraire, la charger dans le produit. Initialiser le routeur IPL lorsque les modifications du paramétrage rendent cette opération nécessaire. Définir les caractéristiques des routeurs avec lesquels un VPN sera établi. Pour les routeurs non accessibles directement, définir la passerelle permettant d y accéder. Placer deux routeurs IPL-G12 en redondance Enregistrer les règles de substitutiion d adresses. Sécurité Droits d administration Protéger et limiter l accès au serveur d administration. Pare-feu Certificats Constituer les filtres qui limitent l accès aux machines et applications (ports) du réseau local. Ajouter / supprimer un certificat numérique. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 109

110 ANNEXE 1 Arborescence du serveur d administration Internet Compte Routage dynamique Alarmes Entrée 1, 2, 3 Enregistrer les paramètres d abonnement GSM Activer le service M2Me_Connect Enregistrer le compte mail Enregistrer des paramètres techniques Enregistrer les règles de Redirection de port (DNAT) Fixer les conditions de connexion à l Internet. Déterminer les conditions d envoi de publique du Routeur vers le distant Déterminer les conditions de l envoi d un , le destinataire et le contenu. Passerelle IP - RS Modbus Unitelway Transparent Configuration des passerelles modbus.. Configuration de la passerelle unitelway. Configuration des passerelles RAW TCP, Telnet et multicast Diagnostic Journal Etat du réseau Etat des passerelles Etat des interrupteurs Table de routage Ping Contrôle des E/S Visualiser la liste horodatée des événements : connexions inter-sites, utilisateurs qui se sont connectés à distance, Afficher l état actuel du produit ADSL, VPN Etat et diagnostic des passerelles liaison série Afficher l état actuel des DIP switches. Afficher la table de routage interne Tester le fonctionnement du système. Visualiser l état des ETOR ; commander la STOR. Syslog Environnement Visualiser le niveau des alimentations électriques A propos Afficher les informations d identification du produit. Page 110 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

111 ANNEXE 2 Créer une connexion VPN de type PPPT pour Internet sous XP Une connexion PPPT permet de connecter un PC isolé ou en réseau au routeur par l internet. Pour créer une connexion PPPT, Cliquer Démarrer, puis Connexions, puis afficher toutes les connexions. Sélectionner «Créer une nouvelle connexion», puis «Connexion au réseau d entreprise» puis «Connexion réseau privé virtuel», puis «ne pas établir la connexion initiale. Dans le champ Nom d hôte ou adresse IP, saisir le nom de domaine DynDNS (par exemple, etic_ras.dyndns.org Donner un nom à la connexion (par exemple, connexion pptp), puis cliquer «Terminer». La fenêtre de la connexion apparaît ; cliquer «Propriétés» puis sélectionner l onglet «Gestion de réseau». Dans le champ «Type de réseau VPN, faire le choix «PPTP» puis cliquer OK pour sauvegarder. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 111

112

113 ANNEXE 3 Modifier la connexion Ethernet IP du PC Pour effectuer la première configuration du routeur, il faut connecter le PC la prise Ethernet du PC à celle du routeur et attribuer au PC une adresse IP compatible avec celle qui est programmée dans le routeur à la livraison. Pour modifier l adresse IP du PC, Ouvrir le panneau de configuration Ouvrir le dossier connexion réseau et accès à distance Cliquer droit sur la connexion au réseau local existante puis «propriétés» Sélectionner Protocole internet (TCP/IP) Cliquer sur Propriétés Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 113

114 ANNEXE 3 Modifier la connexion Ethernet IP du PC Cliquer sur «utiliser l adresse IP suivante». Attribuer au PC une adresse IP et un masque de réseau compatible de l adresse IP affectée au serveur d administration du routeur. Note : L adresse «Usine» du routeur est ; pour la première configuration, on pourra affecter au PC l adresse IP Page 114 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

115 ANNEXE 4 La technique des VPN 1 La fonction des VPN VPN est l acronyme de «virtual private network» ; réseau privé virtuel en français. Le VPN est une technique qui permet d interconnecter deux réseaux IP à travers l internet en offrant une sécurité maximale. Un VPN est établi entre deux routeurs des réseaux à relier. Une fois le VPN établi, chaque machine du premier réseau peut communiquer avec chaque machine de l autre comme si les deux réseaux étaient virtuellement connectés l un à l autre, et avec la sécurité maximale. L interconnexion de sites à travers Internet s effectue au moyen de tunnels VPN (virtual private network) sécurisés. Lorsqu un VPN est établi entre deux routeurs IPL, c est comme si ces deux routeurs étaient reliés directement par un câble ethernet. VPN Internet La technique du VPN permet aussi de relier le PC isolé d un utilisateur distant au routeur d un réseau de machines. VPN Internet 2 Fonctions assurées par un VPN Un VPN réalise les fonctions suivantes : Authentification réciproque : Chaque routeur est titulaire d un code appelé clé ou bien certificat ; à la connexion, l échange des clés permet à chaque routeur de s assurer de l identité de son homologue. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 115

116 ANNEXE 4 La technique des VPN Intégrité des données Le VPN garantit que toutes les données reçues sont conformes à ce que l homologue à transmis. Discrétion Les clés permettent également de crypter les donnés pour assurer la discrétion de la transmission ; un observateur sur l internet ne peut les décoder s il ne possède pas la clé. 3 Les clés Chaque extrémité enregistre une clé qui permettra à la fois le cryptage, le décryptage, la vérification de l intégrité et l authentification des parties. Deux type de clé peuvent être utilisées : La clés secrète : Il s agit d un code enregistré dans chaque routeur ; les deux extrémités enregistrent la même clé. L authentification, le cryptage, le décryptage, ainsi que le contrôle de l intégrité sont réalisés au moyen de cette clé ; c est donc son caractère secret qui garantit la sécurité. Le certificat : Il s agit d un fichier tenant lieu de carte d identité ; il est délivrée par une autorité de certification. Il est unique ; Il contient une suite d informations qui identifient son détenteur ainsi que l autorité qui l a délivré ; il contient également un code appelé clé publique et un autre appelé clé privée. La sécurité repose sur le temps déraisonnable qui devrait être passé pour déduire la clé privée associée à la clé publique. ETIC Télécom est une autorité de certification reconnue et habilitée à fournir des certificats. Chaque routeur est équipé d un certificat au format défini par la norme X509. Pour pouvoir établir une liaison, chaque extrémité doit connaître la clé publique de l autre extrémité. Page 116 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

117 ANNEXE 4 La technique des VPN 3.1 Fonctionnement Authentification A la connexion, les routeurs établissent entre eux un dialogue visant à s authentifier mutuellement. Si l on a choisi un système à clé partagée, les clé sont échangées après avoir été cryptées. Si on a choisi l utilisation de certificats, chaque routeur transmet à l autre un message chiffré au moyen de sa propre clé privée ; le destinataire le décrypte au moyen de la clé publique de l émetteur ; il en a connaissance parce qu elle a été déclarée lors du paramétrage. Clé privée de l'émetteur Clé publique de l'émetteur Message Chiffrement Internet déchiffrement d'authentification Données en clair Transmission Une fois l authentification effectuée, le tunnel est constitué entre les deux routeurs ; les adresses IP sources et destination sont celles des deux extrémités du VPN. Elle ne sont pas cryptées. Celui qui prend l initiative de la connexion est appelé client VPN; le serveur VPN est celui qui accepte la connexion. Dans ce flux de trames IP entre les deux routeurs est transporté le trafic utile : Les trames IP provenant des machines du premier réseau vers des machines du second. Ce trafic est crypté (si on choisit cette option). Cryptage des données Dans le cas où l on a choisi le système à clé partagée, le cryptage et le décryptage s effectuent avec la même clé. Dans le cas où l on a choisi le système de certificats, le cryptage et le décryptage ne sont pas symétriques : les données sont encryptées au moyen de la clé publique du destinataire qui les décrypte au moyen de sa clé privée. Routeur 3G GPRS EDGE ref. IPL-G12 Notice d utilisation ref Page 117

118 ANNEXE 4 La technique des VPN Entretien et coupure du VPN Régulièrement, en l absence de trafic, chaque routeur envoie à son homologue une trame de vie permettant de s assurer qu il est actif ; en l absence de réponse, le tunnel VPN est rompu à l échéance d une temporisation. 4 Types de VPN supportés pour l interconnexion de sites Le routeur IPL-G12 supporte deux types de VPN pour les interconnexions de sites: IPSec et TLS/SSL. Pour chacun de ces deux types, le routeur IPL-G12 peut être client VPN ou serveur VPN. Toutes les connexions doivent être du même type (SSL ou IPSec) ; 16 VPN simultanés peuvent être établis. IPSec est le protocole le plus couramment utilisé pour établir des VPN. On choisira donc d utiliser IPSec si c est la solution qui est imposée ; par exemple, dans le cas où un routeur IPL-G12 doit communiquer avec un routeur d une autre marque qui ne supporte que le protocole IPSEC. TLS/SSL est le protocole VPN offre plus de souplesse tout en garantissant un niveau de sécurité équivalent à IPSec. On préférera TLS à chaque fois qu il s agit d une connexion entre deux routeurs IPL. Page 118 Notice d utilisation ref Routeur 3G GPRS EDGE ref. IPL-G12

119

120 13, Chemin du Vieux Chêne Meylan France Tél : Fax : [email protected] Web :