RAS-E. Serveur RAS - Routeur - Firewall. NOTICE D'UTILISATION Document référence : 9016609-03

RAS-E Serveur RAS - Routeur - Firewall NOTICE D'UTILISATION Document référence : 9016609-03

Le routeur de type RAS-E est fabriqué par ETIC TELECOM 13 Chemin du vieux chêne 38240 MEYLAN FRANCE En cas de difficulté dans la mise en oeuvre du produit, vous pouvez vous adresser à votre revendeur, ou bien contacter notre service support : TEL : + (33) (0)4-76-04-20-05 FAX : + (33) (0)4-76-04-20-01 E-mail : hotline@etictelecom.com web : www.etictelecom.com

SOMMAIRE PRESENTATION 1 DECLARATION DE CONFORMITE... 7 2 IDENTIFICATION DES PRODUITS... 8 3 FICHE TECHNIQUE... 9 4 PRESENTATION... 11 4.1 Applications du routeur -RAS... 11 4.2 Principales fonctions... 14 INSTALLATION 1 DESCRIPTION DU PRODUIT... 17 2 INSTALLER LE ROUTEUR SUR UN RAIL DIN 35 MM... 23 3 PRECAUTIONS D INSTALLATION... 24 4 MISE A LA TERRE... 24 5 FUSIBLE... 24 6 CONNEXION AU RESEAU LOCAL ETHERNET... 24 7 CONNEXION A L INTERFACE RS232... 25 8 CONNEXION A L INTERFACE RS485... 25 9 RACCORDEMENT DES ENTREES SORTIES... 26 MISE EN SERVICE 1 ETAPES DE LA CONFIGURATION DU ROUTEUR... 27 2 CONNEXION D UN PC EN VUE DE LA CONFIGURATION... 28 2.1 Introduction... 28 2.2 Première configuration... 30 2.3 Modifications de la configuration par l interface LAN... 31 2.4 Modification de la configuration par l interface WAN... 31../.. MISE EN SERVICE RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 3

SOMMAIRE 3 REDEMARRAGE APRES MODIFICATION DE CERTAINS PARAMETRES... 32 4 RESTITUTION DE L ADRESSE IP USINE... 33 5 RETOUR A LA CONFIGURATION USINE... 33 6 PROTECTION DE L ACCES AU SERVEUR D ADMINISTRATION... 34 7 RETROUVER L ACCES LIBRE AU SERVEUR D ADMINISTRATION... 34 8 CONFIGURATION USINE DU ROUTEUR... 35 9 INTERFACE LAN... 37 9.1 Protocole IP... 39 9.2 Serveur DHCP... 41 10 CONFIGURATION DE L INTERFACE WAN... 42 10.1 Protocole IP... 42 10.2 Contrôle... 43 11 SERVICE D ACCES SECURISE D UTILISATEURS DISTANTS (RAS)... 44 12 CONNEXIONS DISTANTES DE TYPE PPTP OU TLS OU L2TP-IPSEC... 46 12.1 Principe des connexions distantes... 46 12.2 Types de connexions distantes... 47 12.3 Configuration d une connexion de type TLS... 47 12.4 Configuration d une connexion de type PPTP... 49 12.5 Connexion distante L2TP / IPSec... 49 13 M2ME_CONNECT POUR LA PRISE EN MAIN DE MACHINE A DISTANCE... 50 13.1 Présentation... 50 13.2 Configuration... 52 14 LISTE D UTILISATEURS... 54 14.1 Présentation... 54 14.2 Définir des utilisateurs... 55../.. Page 4 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

SOMMAIRE MISE EN SERVICE 15 INTERCONENXION DE ROUTEURS AU MOYEN DE VPNS... 58 15.1 Principes... 58 15.2 Connexions IPSec... 59 15.3 Connexions TLS... 66 16 ROUTAGE... 70 16.1 Fonction de base... 70 16.2 Enregistrement de routes statiques dans le routeur... 71 16.3 Protocole RIP... 73 17 TRANSLATION D ADRESSES ET REDIRECTION DE PORT... 75 17.1 Translation d adresse... 75 17.2 Redirection par port... 75 18 FIREWALL (OU PARE-FEU)... 78 18.1 Présentation... 78 18.2 Filtres d Utilisateurs... 79 18.3 Filtre principal... 84 19 PASSERELLES SERIE... 88 19.1 Présentation des types de passerelles... 88 19.2 Passerelle Modbus... 90 19.3 Passerelle «RAW TCP»... 96 19.4 Passerelle de diffusion RAW UDP... 98 19.5 Passerelle Unitelway... 100 20 PASSERELLE USB... 101 20.1 Principe... 101 20.2 Configuration... 102../.. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 5

SOMMAIRE MISE EN SERVICE 21 FONCTIONS AVANCEES... 103 21.1 Ajouter un certificat... 103 21.2 Alarmes... 103 21.3 Activer le portail web... 105 21.4 Configuration du serveur DNS... 108 DIAGNOSTIC ET MAINTENANCE 1 DIAGNOSTIC VISUEL DE DEFAUT DE FONCTIONNEMENT... 109 2 MENU DIAGNOSTIC... 109 3 SAUVEGARDE ET CHARGEMENT D UN FICHIER DE PARAMETRES... 111 4 MISE A JOUR DU FIRMWARE... 111 QUELQUES UTILISATIONS PARTICULIERES 1 CONNEXION AU MOYEN DU LOGICIEL M2ME_SECURE... 113 2 CONNEXION PAR INTERNET AU MOYEN DU SERVICE M2ME_CONNECT... 114 3 VISUALISATION DES ENTREES ET TELECOMMANDE DE LA SORTIE... 115 Annexe 1 : Annexe 2 : Annexe 3 : Annexe 4 : Annexe 5 : Arborescence du serveur d administration Créer une connexion sécurisée PPTP sous Windows XP Modifier une connexion IP sous Windows XP Aperçu sur la technique des VPN Liste des informations à recueillir pour paramétrer la connexion au service M2Me_Connect Page 6 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

PRESENTATION 1 Déclaration de conformité Identification du produit : Référence : Routeur & firewall & serveur RAS RAS-E Au nom de la société ETIC Telecom, Gilles Benas agissant en tant que directeur de la qualité, déclare que le produit ci-dessus est conforme à la directive R&TTE Directive (1999/5/EC). Le produit routeur est en particulier conforme aux normes suivantes : Compatibilité : EN 55022 EN 50024 EN 300386-2 FCC Part 15 Sécurité : EN 60950 UL (IEC950) Substance dangereuses : 2002/95/CE (RoHS) Date : 5 Septembre 2007 Gilles Benas Quality manager RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 7

PRESENTATION 2 Identification des produits La présente notice décrit la mise en service et l utilisation des produits dont les particularités sont résumées ci-dessous : RAS-E 1400 1220 1230 Routeur IP Serveur RAS PPTP ou TLS - 25 utilisateurs Compatible du service M2Me_Connect Firewall SPI Passerelle série (Raw TCP et UDP, multicast,telnet, Modbus, Unitelway) - 25 VPN IPSEC & SSL (client ou serveur) RJ45 10/100 BT 4 + 1 2 + 1 2 + 1 RS232-1 2 RS485-1 - Redirection de port (port forwarding) Translation d adresse SNMP DHCP client ou serveur sur interface LAN DHCP client sur interface WAN RIP sur interface LAN et WAN Entrée TOR pour email d alarmes 1 1 1 Configuration Html IO Viewer : Module optionnel de visualisation d entrées sorties modbus Page 8 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

PRESENTATION 3 Fiche technique Caractéristiques générales Dimensions 137 x 48 x 116 mm (h, l, p) EMI EN50082-2 Sécurité électrique EN 60950- UL 1950 ESD : EN61000-4-2 : Décharge 6 KV CEM Champ HF : EN61000-4-3 : 10V/m < 2 GHz Transitoires : EN61000-4-4 Choc : EN61000-4-5 : 4KV line / earth Substances dangereuses 2002/95/CE (RoHS) Tension d alimentation 10 to 30 VDC - 170 ma at 24 VDC T d utilisation -20 C / + 60 C Humidité 5 à 95 % Serveur d accès distant (RAS) Utilisateurs distants Connexion M2Me Alarmes Liste de 25 utilisateurs Sécurisée par VPN PPTP / L2TP-IPSec / TLS Open VPN Contrôle de Login et mot de passe Contrôle de certificat X509 Compatible du logiciel client VPN M2Me_Secure (TLS) Compatible du service de médiation M2Me_Connect * Email au moyen d 1 entrée numérique Liaison série RS232 Passerelle RS232 1200 à 115200 kb/s parity N / E / O Raw TCP client et serveur Raw UDP client et serveur diffusion vers une table d @IP Telnet Modbus maître et esclave Unitelway (automate série maître unitelway uniquement) RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 9

PRESENTATION Ethernet / routage IP Ethernet 10-100 BT Détection de débit 10 ou 100 Mb/s et de câble croisé Routeur Connexions distantes - Routes statiques - RIP V2 Translation d @IP source (NAT) Translation d @IP Redirection de port (DNAT) Substitution d @IP source & destination * DNS Gestion du système de nom de domaine DHCP WAN - Intranet : Client DHCP ou @IP fixe LAN : Client ou serveur DHCP ou @ IP fixe Sécurité VPN Firewall Logs Client ou serveur IPSEC ou TLS/SSL 16 VPN simultanés cryptage AES256 ou 3DES Gestion de certificat X509 Stateful packet inspection (50 règles) Filtrage d adresses IP et des N de port source et destination Event logs (date and time) Page 10 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

PRESENTATION 4 Présentation Le routeur RAS-E est à la fois un routeur, un firewall et un serveur d accès distant (RAS). Il permet de connecter un système industriel à un réseau de hiérarchie supérieure - un réseau d usine ou d entreprise, un Intranet - avec un haut niveau de sécurité. Il constitue aussi un point d accès sécurisé pour des utilisateurs distants pour la maintenance, par exemple. Il présente une interface LAN et une interface WAN. Interface LAN 10 /100 BT (et série en option) L interface LAN est fait pour le raccordement d un système industriel tel qu un réseau d équipements constituant un réseau local IP. Elle est constituée de 4 prises Ethernet 10/100BT ou bien de deux prises Ethernet et deux prises série selon les modèles. Le réseau qui y est directement raccordé est appelé «réseau LAN». Interface WAN 10/100BT L interface WAN est fait pour le raccordement d un réseau d atelier, d usine ou d entreprise. C est sur cette interface peuvent être établis des VPN, et que des utilisateurs distants peuvent se connecter. 4.1 Applications du routeur -RAS RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 11

PRESENTATION Nous présentons ci-dessous quelques applications typiques du routeur RAS-E : Connexion sécurisée d une machine industrielle avec un réseau IP de hiérarchie supérieure (réseau Usine). Interposé entre une machine et un réseau de hiérarchie supérieure tel qu un réseau d atelier, d usine ou d entreprise, le routeur RAS-E assure l échange filtré de trames IP entre les deux réseaux. Seuls certains équipements du réseau d usine pourront échanger des trames IP avec certains autres équipements du réseau machine. Les équipements autorisés sont reconnus par leur adresse IP. Le firewall filtre les échanges en fonction de l adresse IP et du port source et de l adresse IP et du port de destination. La connexion peut être sécurisée par un VPN si nécessaire. IP routing Réseau IP Usine VPN IPL-E RAS-E Routeur Firewall Machine Page 12 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

PRESENTATION Télémaintenance sécurisée de machines depuis un Intranet ou au travers de l Internet au moyen de connexion VPN TLS ou PPTP. Le routeur RAS-E est également un serveur RAS ; connecté à une machine, il permet d effectuer facilement la prise en main à distance de chaque équipement de la machine. Chaque utilisateur distant peut se connecter au routeur RAS-E en établissant une connexion PPTP ou TLS. La connexion PPTP permet l identification de l utilisateur distant par un mot de passe. La connexion TLS offre plus de sécurité : Le PC distant est en plus authentifié par un certificat et les données transmises sont cryptées. M2Me_Secure VPN Internet R Réseau Usine ou d'entreprise IPL-E RAS-E Machine M2Me_Secure VPN RAS Router Firewall RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 13

PRESENTATION 4.2 Principales fonctions Serveur RAS Le routeur RAS-E fait fonction de serveur d accès distant permettant à un groupe d utilisateurs distants et authentifiés d accéder aux équipements de la machine connectés au routeur RAS-E avec des droits individualisés. Service M2Me_Connect Les routeur RAS-E permettent l utilisation du service M2Me_Connect pour la prise en main de machine à distance. Passerelle série Certaines références du routeurs possèdent une passerelle pour 2 liaisons série (RS232 ou RS485). La passerelle fonctionne suivant l un des modes suivants : Raw TCP client ou serveur Raw UDP pour la diffusion vers une ou plusieurs adresses IP Telnet Modbus maître ou esclave unitelway Firewall Le routeur RAS-E dispose d un firewall «SPI» qui inspecte les paquets en permanence. Il permet le filtrage des trames IP selon l adresse et le port source ainsi que l adresse et le port de destination. Lorsqu il s agit de la connexion distante d un utilisateur, il permet d attribuer des droits d accès individualisés en fonction de l identité de l utilisateur ou du certificat qu il produit. Alarmes Emails sms Un email enregistré dans le routeur peut être transmis lorsque l entrée tout ou rien se ferme ou s ouvre. Cet email peut être transformé en SMS si l adresse mail du destinataire a été attribuée à un numéro de téléphone mobile. Page 14 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

PRESENTATION Serveur html de données dynamiques L option IOViewer permet de collecter des données sur le réseau d automatisme (Modbus Ethernet ou série) et de les présenter sur des pages html accessibles depuis l Internet. Il est également possible de télécommander la sortie. Visualisation d une entrée TOR et télécommande d une sortie Le routeur dispose d une entrée TOR dont l état peut être lu au moyen d un browser html. Il dispose également d une sortie TOR dont l état peut être commandé avec un browser html. Routeur IP Le routeur RAS-E offre un large gamme de solutions de routage qui peuvent être mises en œuvre selon le besoin : Routes statiques, pour atteindre des réseaux nichés, Translation d adresse (NAT, DNAT, port forwarding), Protocole automatique d échange de table de routage (RIP), Gestion de nom de domaine DNS et DynDNS. VPN TLS et IPSec Etabli entre deux routeurs, le VPN assure l interconnexion transparente des deux réseaux en sorte que toute machine de l un des réseaux peut communiquer avec une machine de l autre réseau. De plus, pour la discrétion, les données peuvent être cryptées. Le routeur RAS-E permet d établir 25 VPN TLS ou IPSec. DHCP client et serveur Sur l interface «LAN» (réseau local), le routeur RAS-E peut recevoir une adresse IP fixe ou se comporter en client d un serveur DHCP qui lui attribue une adresse IP; il peut aussi se comporter en serveur DHCP. Ces fonctions sont réglées au moyen de DIP switches placés sous la trappe sur la face supérieure du produit. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 15

PRESENTATION Sur l Interface «WAN», il peut recevoir une adresse IP fixe ou se comporter en client d un serveur DHCP. Redirection par port Le routeur RAS-E permet de transférer le trafic reçu à son adresse sur l interface WAN et sur un port particulier, vers un équipement connecté à l interface LAN. SNMP Le routeur RAS-E est agent SNMP; il répond à la MIB2 standard et transmet un trap SNMP lorsque des événements paramétrables surviennent. DNS et DynDNS Le système DNS permet au routeur RAS-E d établir une connexion avec un autre routeur en utilisant un nom de domaine (DNS) ou un nom de domaine dynamique (DynDNS) plutôt que par son adresse IP. Configuration Html et DIP switches Le routeur RAS-E se configure au moyen d un navigateur HTML 2 micro-interrupteurs (DIP switches) permettent en plus de fixer le mode d attribution de l adresse IP du routeur (DHCP client ou serveur ou fixe) et de retrouver l adresse IP «usine» en cas de difficulté. EticFinder Le logiciel ETICFinder livré avec le routeur ; il permet de détecter simplement tous les produits de marque ETIC connectés à un segment Ethernet pour afficher leur adresse MAC ainsi que l adresse IP qui leur est attribuée sur le réseau. Page 16 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

INSTALLATION 1 Description du produit Routeur RAS-E-1400 VPN établi Service Non utilisé LINK Ethernet port 1& 2 RS485 Ethernet port 3 & 4 1 10 / 100 BT 2 3 4 1 RAS-E-1400 Interface Voyant Fonction VPN Un VPN au moins est établi WAN LINK Eclairé avec clignotements très brefs : Echange de données Eclairé : Interface connecté, pas d activité Eteint : LAN Ethernet 1 Eclairé avec clignotements très brefs : Echange de données À Eclairé : Interface connecté, pas d activité Ethernet 4 Allumé vert : Produit en fonction Allumé rouge : Alarme ou démarrage en cours RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 17

INSTALLATION Routeur RAS-E-1201 Liaison secours Operation Ethernet 10/100 Port WAN VPN établi Activité Ethernet 10/100 Ports LAN 10 / 100 BT Ethernet port 1 & port 2 10 / 100 BT Alim. modem usb Interface usb 1 2 USB activity 1 2 RS485 USB USB RAS-E-1201 Interface Voyant Fonction VPN Un VPN au moins est établi WAN LINK Eclairé avec clignotements très brefs : Echange de données Eclairé : Interface connecté, pas d activité Eteint : LAN Ethernet 1 Eclairé avec clignotements très brefs : Echange de données À Eclairé : Interface connecté, pas d activité Ethernet 4 USB Activité sur le port usb backup Vert : Le routeur a basculé les données sur le port USB Eteint : Le routeur utilise la liaison principale (WAN) Allumé vert : Produit en fonction Allumé rouge : Alarme ou démarrage en cours Page 18 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

INSTALLATION Routeur RAS-E-1220 VPN établi Service Non utilisé LINK Ethernet port 1 & port 2 RX led (Vers IPL) 1 RS485 Rx 10 / 100 BT Tx 2 RS485 RS485 TX led (Depuis IPL) RS232 RAS-E-1220 Interface Voyant Fonction WAN VPN LINK LAN Ethernet 1 À Ethernet 4 Un VPN au moins est établi Eclairé avec clignotements très brefs : Echange de données Eclairé : Interface connecté, pas d activité Eteint : Eclairé avec clignotements très brefs : Echange de données Eclairé : Interface connecté, pas d activité RS232 Rx Caractères reçus du la liaison V24/RS232 (vers RAS) Tx Caractères transmis vers la liaison V24/RS232 (depuis RAS) RS485 Rx Caractères reçus de la liaison RS485 (vers RAS) Tx Caractères transmis sur la liaison RS485 (depuis RAS) Allumé vert : Produit en fonction Allumé rouge : Alarme ou démarrage en cours RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 19

INSTALLATION Routeur RAS-E-1230 VPN établi Service Non utilisé LINK Ethernet port 1 & port 2 RX led (Vers IPL) 1 10 / 100 BT 2 TX led (Depuis IPL) RS232 RAS-E-1230 Interface Voyant Fonction VPN Un VPN au moins est établi WAN LINK Eclairé avec clignotements très brefs : Echange de données Eclairé : Interface connecté, pas d activité Eteint : LAN Ethernet 1 Eclairé avec clignotements très brefs : Echange de données À Eclairé : Interface connecté, pas d activité Ethernet 4 RS232 Rx Caractères reçus du la liaison V24/RS232 (vers RAS) Tx Caractères transmis vers la liaison V24/RS232 (depuis RAS) Allumé vert : Produit en fonction Allumé rouge : Alarme ou démarrage en cours Page 20 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Bornier 8 points : Alimentation et Sortie TOR Broche Signal Fonction 1 Power 1 + Alimentation 1 : 10 à 30 Vdc 2 Power 1 - Masse 3 Power 2 + Alimentation 2 : 10 à 30 Vdc 4 Power 2 - Masse 5 3V3 Tension + 3 V DC fournie par le produit 6 In Entrée TOR 7 F + Sortie TOR + (max 50Vdc - 0,6A) 8 F - Sortie TOR - Connecteur RJ45 : Ethernet 10 / 100 BT Broche Signal Fonction 1 Tx + Emission polarité + 2 Tx - Emission polarité - 3 Rx + Réception polarité + 4 N.C - 5 N.C - 6 Rx - Réception polarité - 7 N.C. - 8 N.C. - Bornier 2 points : RS485 Broche Signal Fonction 1 A RS485 polarité A 2 B RS485 polarité B Connecteur RJ45 : RS232 (raccordement d un équipement DCE) Broche Circuit Sens Fonction 1 DTR - 108 Sortie Terminal de données prêt 2 TD - 103 Sortie Emission de données 3 RD - 104 Entrée Réception de données 4 DSR - 107 Entrée Poste de données prêt 5 SG - 102 - Terre de signalisation 6 Inutilisé Sortie - 7 CTS - 106 Entrée Prêt à émettre 8 RTS - 105 Sortie Demande pour émettre INSTALLATION RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 21

INSTALLATION Connecteur RJ45 : RS232 (raccordement d un équipement DTE) Broche Circuit Sens Fonction 1 CD - 109 Sortie Détection de porteuse 2 RD - 104 Sortie Réception de données 3 TD - 103 Entrée Emission de données 4 DTR - 108 Entrée Terminal de données prêt 5 SG - 102 - Terre de signalisation 6 DSR - 107 Sortie Poste de données prêt 7 RTS - 105 Entrée Demande pour émettre 8 CTS - 106 Sortie Prêt à émettre SW 1 SW 2 Micro-switches OFF OFF L @ IP du serveur d administration est l adresse programmée ON OFF OFF ON L @ IP du serveur d administration est l adresse usine : 192.168.0.128 Le mot de passe qui protège l accès au serveur d administration est inopérant l'adresse IP du serveur d administration est obtenue auprès d un routeur BOOTP ou DHCP. ON ON Réservé Bouton-poussoir : Un bouton-poussoir est placé sous la trappe à côté des DIP switches ; il permet de restaurer la configuration usine en cas de blocage du produit au cours de la configuration. Pour restaurer la configuration usine : Mettre le produit sous tension tout en maintenant le bouton poussoir enfoncé et jusqu à passage à la couleur verte du voyant RUN. Attention : La configuration éventuellement programmée est perdue. Page 22 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

INSTALLATION 2 Installer le routeur sur un rail DIN 35 mm Pour installer le produit sur un rail Din 35 mm, Incliner le produit. Engager le produit dans la partie supérieure du rail. Pousser pour encliqueter. Laisser un espace d environ 1 cm de part et d autre du routeur pour faciliter l écoulement de la chaleur. Pour démonter le produit du rail Din 35 mm, Pousser légèrement vers le bas. Dégager le produit vers l avant RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 23

INSTALLATION 3 Précautions d installation Ventilation Le produit est conçu pour être fixé sur un rail DIN 35 mm. Pour éviter tout échauffement, en particulier lorsque la température ambiante peut s élever dans l armoire électrique, on veillera à ménager un espace de 1 cm de chaque côté du produit pour faciliter l écoulement de la chaleur. Alimentation Le produit est pourvu de 2 entrées d alimentation. La tension d alimentation doit être régulée et strictement comprise entre 10 et 30 Volt continu. La consommation est de 4W. 4 Mise à la terre Le boîtier est métallique; on veillera à relier la cosse de mise à la terre du boîtier (située sur sa face inférieure) à une terre de protection efficace. 5 Fusible La carte électronique est équipée de 2 fusibles rapides 3 A situés à proximité du bornier d alimentation débrochable. 6 Connexion au réseau local Ethernet Les interfaces Ethernet sont à reconnaissance automatique du débit 10 ou 100 Mb/s et de croisement de circuits. Pour connecter directement un PC au routeur (par exemple, à la mise en service), utiliser un cordon Ethernet standard croisé ou non. Page 24 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

INSTALLATION 7 Connexion à l interface RS232 Le produit RAS-E-1230 dispose de deux interfaces série RS232. Le produit RAS-E-1220 dispose d une interface série RS232 et d une interface RS485. Ces interfaces permettent le raccordement d équipements série (automate ) afin de pouvoir y accéder depuis le réseau local ou à distance. Liaison RS232 La liaison RS232 permet de raccorder indifféremment un équipement DTE (terminal) ou DCE (modem). Selon le type d équipement à raccorder, utiliser l un des câbles suivants (à commander séparément) : Câbles RS232 Référence Connecteur Fonction CAB592 SubD 9 pts mâle Raccordement d un DCE CAB593 SubD 9 pts femelle Raccordement d un DTE CAB609 Fils nus Raccordement d un DTE ou DCE selon câblage Longueur maximale du câble RS232 L équipement raccordé à l interface RS232 ne doit pas être éloigné de plus d une dizaine de mètres du XSRING et le câble de raccordement doit de préférence être blindé. 8 Connexion à l interface RS485 La liaison RS485 est polarisée par des résistances de 1 K Ohm à l intérieur du produit. Si l équipement série est raccordé à une distance supérieure à 10m, on aura soin de connecter une résistance de terminaison de bus RS485 suivant les règles de l art. + - 1 KOhm 1 KOhm B(+) A(-) IPL-AD2 RS485 RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 25

INSTALLATION 9 Raccordement des entrées sorties L entrée 1 permet d émettre une alarme par e-mail ou bien de commander la connexion du routeur à l Internet. Par ailleurs, le menu du menu «Contrôle des E/S» du routeur d administration permet de visualiser l état de l entrée et de télécommander la sortie. IPL-AD2 Entrée TOR 3V3 In 5 6 I max = 0,5 A Sortie TOR polarisée F+ F- 7 8 V + - V < 48 VDC I < 0,5 A Page 26 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

1 Etapes de la configuration du routeur Pour configurer le routeur, nous conseillons de procéder comme suit : Connecter un PC au routeur Configurer les interface LAN Configurer l interface WAN Configurer la connexion d utilisateur distant ou le service M2Me_Connect Saisir la liste des utilisateurs distants Configurer les VPN avec d autres routeurs s il en existe Configurer le routage, et la translation d adresses si nécessaire Configurer les passerelles série Configurer le firewall pour limiter l accès distant RAS - routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 27

2 Connexion d un PC en vue de la configuration 2.1 Introduction Le routeur se configure au moyen d un PC équipé d un navigateur HTML. Aucun logiciel complémentaire n est nécessaire. Adresse du serveur d administration : Le serveur web d administration se trouve à l adresse IP de l interface Ethernet LAN du routeur (192.168.0.128 par défaut). Navigateur HTML L utilisation de Internet explorer 8 est conseillée. Configuration : La première configuration s effectue en connectant le PC directement au connecteur Ethernet de l interface LAN du produit. Les modifications ultérieures peuvent être en plus effectuées depuis le réseau LAN, ou bien depuis le réseau WAN après avoir créé une règle de firewall appropriée ou bien encore à distance en utilisant une connexion distante PPTP ou TLS. Restitution de l adresse IP usine : L adresse IP usine 102.168.0.128 peut être restituée en plaçant les microswitches SW1 sur ON et SW2 sur OFF. De plus, lorsque les microswitches sont dans cette position, et si un mot de passe protège l accès au serveur de configuration, il est rendu inopérant depuis l interface LAN. Protection d accès au serveur d administration : Si vous ne parvenez pas à accéder au serveur d administration, c est probablement que l accès en a été limité pour des raisons de sécurité ou pour d autres raisons. Position des micro-interrupteurs ; Les micro- interrupteurs SW01 et SW02 ne doivent pas être laissés sur la position SW01=ON et SW02=OFF une fois le routeur installé. Cette position est réservée à la restitution de l adresse IP Usine. «Copier / coller» : Les paramètres doivent être saisis au clavier et pas «collés». Cependant, si on procède par «copier / coller», et après avoir collé le paramètre, on peut supprimer le dernier caractère et le saisir à nouveau. Page 28 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Format des adresses réseau : Dans la suite du texte on appelle «adresse réseau», l adresse de valeur la plus basse du réseau. Par exemple si le netmask est 255.255.255.0, l adresse réseau est X.Y.Z.0. Caractères autorisés les caractères accentués ne peuvent être saisis. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 29

2.2 Première configuration Etape 1 : Créer ou modifier la connexion TCP/IP du PC (voir annexe 1). Attribuer à cette connexion une adresse IP différente mais cohérente avec l adresse IP usine du routeur qui est 192.168.0.128. On utilisera par exemple l adresse 192.168.0.127 pour le PC. Etape 2 : Connecter le PC au routeur Connecter le PC au routeur, soit directement soit au moyen d un switch. Etape 3 : Lancer le navigateur Ouvrir le navigateur et désigner l adresse IP du serveur d administration programmée en usine : 192.168.0.128 (ne pas faire précéder l adresse de www). La page d accueil du serveur d administration s affiche. Page 30 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Note : A la première configuration, l accès au serveur d administration n est pas protégé ; voir paragraphe pour protéger l accès au serveur d administration. 2.3 Modifications de la configuration par l interface LAN Ouvrir le navigateur html et saisir l adresse IP du serveur d administration du routeur. Saisir, s il y a lieu, le nom d utilisateur et le mot de passe qui ont été programmés pour protéger l accès au serveur d administration. Si la fenêtre de demande d identification ne s affiche pas : L adresse IP que vous avez saisie est fausse. Si la fenêtre de demande d identification s affiche, mais pas la page web : Le nom d utilisateur ou le mot de passe d accès au serveur d administration sont erronés. 2.4 Modification de la configuration par l interface WAN Il est possible d accéder au serveur d administration en vue de modifier la configuration du routeur depuis un PC connecté au réseau WAN. On peut aussi effectuer cette opération depuis le réseau WAN ou l Internet au moyen d une connexion distante PPTP ou TLS. Accès au serveur de configuration depuis le réseau WAN On peut accéder au serveur de configuration du routeur depuis l interface WAN, mais seulement près avoir créé une règle de firewall. En effet, à la livraison, le firewall rejette les paquets IP provenant de l interface WAN vers l interface LAN (hors le serveur d administration du routeur est situé sur l interface LAN). C est la raison pour laquelle il est nécessaire de créer une règle de firewall autorisant l accès à l adresse IP du routeur sur l interface LAN depuis une adresse IP de l interface WAN. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 31

Accès au serveur de configuration par l interface WAN au moyen d une connexion distante PPTP ou TLS. Pour atteindre le serveur d administration depuis l interface WAN, il est possible d établir une connexion distante PPTP ou TLS. En effet, lorsqu un utilisateur, appartenant à la liste d utilisateurs, établit une connexion distante PTP ou TLS depuis son PC vers l interface WAN du routeur, le firewall autorise l accès aux adresses IP du réseau LAN, sauf si on restreint leurs droits au moyen d une règle de firewall. 3 Redémarrage après modification de certains paramètres Certains paramètres ne sont pris en compte par le routeur qu après redémarrage du produit. Lorsque l on effectue la configuration à distance, ceci a en plus pour effet de couper la liaison VPN. Il est donc conseillé d opérer comme suit : Après modification des paramètres d une page, cliquer le bouton «enregistrer» placé en bas de la page. Lorsque le paramétrage est terminé, pour que les modifications soient prises en compte, cliquer le bouton «redémarrer» de couleur rouge qui apparaît en bas de la barre verte de menu. Le routeur redémarre (la durée du redémarrage est de 15 sec environ). Fermer le navigateur html, puis l ouvrir à nouveau pour contrôler que le paramétrage a correctement été pris en compte. Le bouton «redémarrer» doit avoir disparu. Attention : Le bouton «redémarrer» est situé sous le dernier menu de la barre de couleur verte; il peut ne pas apparaître à l écran si tous les menus sont ouverts ; contrôler en utilisant la barre de navigation. Page 32 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

4 Restitution de l adresse IP Usine Au cas où l adresse IP de l interface LAN du routeur ne pourrait être identifiée, on procéder suivant l une des deux méthodes ci-dessous : 1ere méthode : On place le DIP switch SW01 sur la position ON. et SW02 OFF. L adresse IP «Usine» 192.168.0.128 est restituée tant que ces DIP switches sont maintenus dans cette position. 2eme méthode : Le logiciel ETICFinder permet de détecter tous les produits fabriqués par ETIC TELECOM et connectés sur le segment ethernet ; le logiciel affiche l adresse IP attribuée à chacun d entre eux. 5 Retour à la configuration Usine Si l on programme des règles de firewall interdisant finalement toute communication, il peut être nécessaire de restaurer la configuration Usine. Dans ce cas, le routeur retrouve la configuration qu il avait à la livraison (voir ci-dessous). Deux solution permettent de restituer la configuration usine : Soit le bouton poussoir, soit un bouton du serveur d administration. Pour restituer la configuration Usine au moyen du bouton poussoir, Mettre le routeur hors tension, Ouvrir la trappe située sur la partie supérieure, Appuyer sur le poussoir avec une pointe de tournevis par exemple, Mettre sous en tension tout en maintenant le poussoir enfoncé. Le voyant «Service» passe au rouge ; le routeur s initialise et la configuration par défaut est restituée. Pour restituer la configuration usine au moyen du serveur web, Sélectionner le menu «Maintenance», puis le menu «Sauvegarde / Restauration». Cliquer le bouton «Restaurer la configuration Usine». Le voyant «Service» passe au rouge ; le routeur s initialise et la configuration par défaut est restituée. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 33

Remarque : Après avoir restauré la configuration Usine du routeur, la configuration stockée précédemment est perdue. 6 Protection de l accès au serveur d administration Sélectionner le menu «Configuration», «Sécurité» puis «Droits d administration». Saisir le nom d utilisateur et le mot de passe qui protègent l accès au serveur d administration. 7 Retrouver l accés libre au serveur d administration En cas de perte du nom d utilisateur et du mot de passe d accès au serveur d administration, on peut restituer un accès libre au serveur d administration, par l interface LAN uniquement, en plaçant le DIP switch SW01 en position ON et SW02 en position OFF. Remarque : Les DIP switches ne doivent pas être laissés dans cette position en cours d utilisation du produit. Page 34 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

8 Configuration Usine du routeur A la livraison du produit, ou après avoir cliqué le bouton «restaurer la configuration par défaut», il est paramétré comme suit : Adresse IP LAN : 192.168.0.128 Adresse IP WAN : Aucune Utilisateur distant par défaut : Login = admin ; mot de passe = admin Protection d accès au serveur d administration : Aucune Firewall utilisateur distant : Accès libre aux équipements du réseau LAN par la connexion distante PPTP (login admin, mot de passe admin) réalisée sur l interface WAN Firewall principal : Trafic WAN vers LAN bloqué Compte tenu de ce paramétrage, voici comment se comporte le routeur à la livraison : Accès au serveur d administration par l interface LAN : L accès au serveur d administration est possible uniquement par l Interface LAN à l adresse 192.168.0.128. Aucun mot de passe ne protège l accès au serveur d administration. Connexion PPTP d un utilisateur distant par l interface WAN : Après avoir créé une connexion PPTP sur son PC distant, et après avoir attribué une adresse IP au routeur pour l interface WAN, un utilisateur distant peut établir la connexion PPTP entre son PC et l interface WAN du routeur en utilisant l identification et le mot de passe de l utilisateur par défaut (admin, admin). L utilisateur distant peut alors accéder à tous les équipements connectés au réseau LAN. Il peut aussi accéder de cette manière au serveur d administration en désignant l adresse IP 192.168.0.128. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 35

Réglage du firewall : Cas des trames véhiculées dans un VPN A la livraison, la politique du filtre principal autorise sans restriction le transfert des trames véhiculées dans un VPN, que l initiative de la connexion provienne du LAN ou du WAN. En conséquence, pour bloquer les échanges de trames véhiculées dans un VPN établi entre deux routeurs, il faut changer la politique du filtre principal et créer une ou plusieurs règles de firewall. Voir paragraphe Configuration du firewall. Réglage du firewall : Cas des trames non véhiculées dans un VPN A la livraison, la politique du filtre principal du firewall interdit le transfert de trames IP non véhiculées dans un VPN à l initiative d un équipement du WAN vers tout équipement du LAN. En conséquence, pour autoriser les échanges de trames véhiculées hors d un VPN, depuis le WAN vers le LAN, il faut changer la politique du filtre principal et créer une ou plusieurs règles de firewall. Voir paragraphe Paramétrage du firewall. Page 36 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

9 interface LAN L interface LAN est constituée de 4 prises Ethernet (switch) ou bien de deux prises Ethernet et deux prises série selon les modèles. Cette interface est désignée par «interface LAN» dans la suite du texte; le réseau qui y est directement raccordé est appelé «réseau LAN». Les adresses IP suivantes doivent être enregistrées : L adresse IP du routeur sur l interface LAN. Le groupe d adresses IP appelé pool d adresses IP des utilisateurs distants. Lorsqu un utilisateur distant se connecte au routeur au moyen d une connexion distante PPTP ou TLS ou encore au moyen du service M2Me_Connect, une adresse de ce groupe est attribuée au PC distant. Les adresses de ce pool d adresses font partie du réseau LAN. Remarques : Règles d attribution des adresses IP Pour que le routage de trames IP puisse s effectuer entre l interface LAN et l interface WAN, l adresse du réseau LAN doit être différente de l adresse du réseau WAN. Exemple : Réseau Adresse réseau Netsuke LAN 192.168.0.X 255.255.255.0 WAN 192.168.1.X 255.255.255.0 De plus, lorsque le routeur est utilisé pour établir un VPN avec un autre routeur, l adresse IP du réseau LAN doit être différente de l adresse IP du réseau LAN distant. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 37

Lorsque le routeur RAS-E est utilisé pour la connexion d utilisateurs distants, l adresse IP du réseau LAN doit être différente de l adresse IP du réseau WAN ; différente de l adresse IP du réseau LAN distant. Page 38 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

9.1 Protocole IP Sélectionner le menu «Configuration» puis «Interface LAN» et «Protocole IP». Configurer les paramètres «Réseau LAN» : Paramètre «Adresse IP» : Saisir l adresse IP du routeur sur le réseau local. Elle permet aussi d accéder au serveur d administration (à distance ou par ethernet). Paramètre «Masque de sous-réseau» : Le masque de sous-réseau définit la structure des adresses IP de toutes les stations d un segment de réseau local. La valeur de ce masque doit être fournie par le responsable du réseau ; cependant, on notera que dans les réseaux de 254 stations, le masque de sous-réseau est 255.255.255.0. Remarque : Si «l adresse IP usine» est forcée au moyen des micro-switches (SW1 ON et SW2 OFF), un message d avertissement est affiché mais cela n empêche pas de saisir l adresse IP dans le routeur. Elle ne deviendra effective que lorsque les microswitches seront repassés en mode «@IP programmée» (SW1 OFF et SW2 OFF). Il en est de même si le routeur a été forcé en mode client BOOTP ou DHCP. Configurer les paramètres «Accès distant» : Un utilisateur distant qui se connecte au moyen d une connexion PPTP ou TLS obtient une adresse IP du réseau local (même masque de sous-réseau). Ainsi, lorsqu'il se connecte, il est vu comme un équipement du réseau local. Les adresses attribuables aux utilisateurs distants sont appelées pool d'adresses IP. Pour définir le pool d adresses IP, on saisit les deux paramètres «Début du pool d adresses IP» et «Fin du pool d adresses IP». Paramètre «Début du pool d adresses IP» : Saisir l adresse IP du début du groupe attribuable à un utilisateur distant (192.168.0.129 par exemple). Paramètre «Fin du pool d adresses IP» : Saisir l adresse IP de fin du groupe attribuable à un utilisateur distant (192.168.0.133 par exemple). RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 39

Dans notre exemple, tout utilisateur distant recevra une adresse comprise entre 192.168.0.129 et 192.168.0.133. Dans notre exemple, 5 utilisateurs distants peuvent se connecter simultanément au réseau local protégé par le routeur RAS-E. Configurer les paramètres «Avancé» : Paramètre «Activer Proxy-arp» : Si cette case est cochée, le routeur répond à une requête ARP désignant un équipement du réseau LAN en indiquant sa propre adr. MAC. Paramètre «Adresse IP additionnelle & Maque de sous-réseau additionnel» : Saisir éventuellement la seconde adresse IP attribuée au routeur sur l interface LAN. Remarques importantes : Après toute modification de l adresse IP de l interface LAN du routeur, il est nécessaire de redémarrer le routeur comme indiqué plus haut. De plus, si des VPNs ont été configurés, il est nécessaire de relancer les VPN. Et, si le serveur DHCP de l interface LAN est actif, il faut le relancer également. Pour relancer les VPN après avoir modifié l adr. IP de l interface LAN : Sélectionner le menu «Réseau» puis «VPN», Cliquer sur le bouton «propriétés» face au champ «type de VPN», puis sur le bouton «OK» de la fenêtre des «Propriétés du VPN». Cliquer sur le bouton «Modifier» de chaque connexion VPN, puis cliquer sur «OK» dans la fenêtre de définition de la connexion VPN. Pour relancer le serveur DHCP après avoir modifié l adr. IP de l interface LAN : Sélectionner le menu «Interface LAN» puis «Serveur DHCP», Décocher la case «Activer le serveur DHCP», puis cocher à nouveau cette case, puis cliquer le bouton «Enregistrer». Page 40 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

9.2 Serveur DHCP Sur l interface LAN, le routeur RAS-E peut se comporter en serveur DHCP. Pour configurer le serveur DHCP, Sélectionner le menu «Configuration», puis «interface LAN» et «serveur DHCP». Paramètres «Début du pool d adresses IP» et «Fin du pool d adresses IP» : Saisir l adresse IP du début et de fin du groupe d adresses IP attribuables à un client DHCP. Primary DNS IP address & secondary DNS IP address parameters : Saisir l adresse du serveur DNS principal et secondaire. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 41

10 Configuration de l interface WAN L interface WAN permet de connecter le routeur à un réseau d entreprise ou d opérateur. Des VPN pevent être établis sur cette interface. 10.1 Protocole IP Sélectionner le menu «Configuration» puis «Interface WAN», puis «Protocole IP». L alinéa «réseau WAN» permet de paramétrer la connexion IP du routeur au réseau d entreprise (aussi appelé WAN). Case à cocher «Activer» : Sauf cas particulier, cette case doit être cochée. Paramètre «Obtenir une adresse IP automatiquement» : Cocher cette case si l adresse IP du routeur RAS-E sur le réseau d entreprise est attribuée par un serveur DHCP. Paramètres «Adresse IP», masque de sous-réseau» et «Passerelle par défaut» : Entrer l adresse IP attribuée au routeur sur le réseau d entreprise, le masque du réseau et l adresse IP du routeur par défaut sur le réseau d entreprise». Paramètres «Obtenir les @ de serveurs DNS automatiquement», «Adresse DNS primaire», «Adresse DNS secondaire» : Cocher cette case si les adresses des serveurs DNS sont attribuées automatiquement par le serveur DHCP. Autrement saisir les adresses des serveurs DNS. Paramètre «Activer la translation d adresse NAT» : Cocher cette case si le routeur doit remplacer les adresses-source des trames IP provenant d un des équipements connectés sur l interface LAN par sa propre adresse IP sur le réseau d entreprise. Paramètre «Activer Proxy-arp» : Si cette case est cochée, le routeur répond à une requête ARP désignant un équipement du réseau WAN en indiquant sa propre adresse MAC. Page 42 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Paramètre «Serveurs de courriers sortants» : Saisir l adresse du serveur mail ; ce paramètre est utile pour transmettre un mail d alarme en cas de changement d état de l entrée TOR. Paramètre «Adresse mail du compte source» : Adresse mail attribuée au routeur. 10.2 Contrôle Case à cocher «Activer» : Cocher cette case pour activer le test de la connexion avec le réseau WAN. Paramètre «Adresse IP du serveur» : Saisir l adresse IP du serveur auquel le PING périodique sera adressé. L adresse enregistrée doit être celle d un équipement disponible en permanence ; en effet, en cas de non-réponse et après répétition, la connexion est déclarée défaillante. Paramètre «Intervalle des Ping» : Saisir la période de transmission des PING. Paramètre «Nombre d essais» : En cas de non réponse du serveur, le ping est répété rapidement pour confirmer la défaillance. Saisir le nombre de répétitions permettant de confirmer la défaillance. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 43

11 Service d accés sécurisé d utilisateurs distants (RAS) Le routeur RAS-E permet aux utilisateurs de PC distants de se connecter à une machine, avec un niveau de sécurité élevé, que ce soit à travers un réseau IP étendu ou bien l Internet. Les services offerts par le routeur RAS-E sont les suivants : Identification des utilisateurs distants (log in, mot de passe, certificat). Attribution automatique d une adresse du réseau local (la machine). Limitation des adresses IP et ports accessibles en fonction de l identité de l utilisateur distant. Cryptage des échanges. Enregistrement horodaté des connexions. Compatibilité avec le service M2Me_Connect qui permet de résoudre les cas où la connexion directe est impossible. Pour mettre en service la connexion distante des utilisateurs, il faut successivement effectuer les étapes suivantes : Etape 1 : configurer la communication distante. PPTP ou TLS ou sélectionner le service M2Me_Connect Etape 2 : enregistrer les utilisateurs autorisés dans la «liste d utilisateurs», Etape 3 :: limiter le domaine d adresse IP accessibles à chaque utilisateur au moyen du pare-feu. Page 44 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Note : Pour permettre la connexion d utilisateurs distants, le routeur RAS-E peut également établir un VPN vers un autre routeur RAS-E placé sur le réseau du télémainteneur. Cette solution peut être mise en oeuvre facilement si le réseau du télémainteneur possède un point d entrée avec une adresse IP fixe. Ce cas a été traité au paragraphe relatif à l établissement de VPN vers un autre routeur. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 45

12 Connexions distantes de type PPTP ou TLS ou L2TP-IPSec 12.1 Principe des connexions distantes Une connexion distante est un tunnel sécurisé établi entre un PC et le routeur RAS-E. Par rapport à la fonction de routage IP, la connexion distante de type RAS procure des avantages importants de sécurité et de simplicité : La connexion distante permet d assurer la sécurité de la transmission que ne peut offrir le simple routage IP : Identification de l utilisateur distant Lorsque le PC est connecté à l Internet, par exemple, ou dans d autres situation, l adresse IP du PC distant est changeante ou même inconnue du routeur RAS-E. l adresse IP source ne constitue donc pas un bon critère d identification. L utilisation d une connexion RAS PPTP ou TLS permet d identifier son utilisateur par un login et un mot de passe ou même un certificat (TLS uniquement). Un certificat est un fichier d identification enregistré dans le PC ; une empreinte digitale en quelle que sorte. Cryptage (TLS uniquement) Le logiciel M2Me_Secure (et de manière plus générale tout client TLS) permet d échanger des données cryptées avec le routeur RAS-E. La connexion distante simplifie la connexion : Attribution automatique d une adresse IP du réseau local Le PC de l utilisateur distant est téléporté sur le réseau local. Une fois identifié, son PC reçoit automatiquement une adresse IP du réseau local. Carnet d adresse Le logiciel M2Me_Secure permet d enregistrer le carnet d adresses des sites distants. Un clic suffit pour se connecter. Page 46 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

12.2 Types de connexions distantes 3 types de VPN sont proposés : TLS/SSL., PPTP et L2TP/IPSec. Une fois l un de ces types de VPN sélectionné, il s applique à tous les utilisateurs. Nous conseillons de mettre en oeuvre une connexion TLS et d utiliser le logiciel M2Me_Secure, le client VPN proposé par ETIC Telecom. 12.3 Configuration d une connexion de type TLS Etape 1 : Configuration du routeur Sélectionner le menu «Configuration» puis «Utilisateurs distants», puis «Liste d utilisateurs» Sélectionner le choix TLS. Cliquer le bouton «Propriétés». Paramètres «Numéro de port» et «protocoles» : Choisir le protocole de transport du VPN (UDP ou TCP) ; UDP est préférable à TCP. Le N de port peut être quelconque mais la valeur doit être choisie parmi celles qui sont autorisés sur le réseau du client. Attention : Pour que le routeur puisse distinguer une connexion TLS d utilisateur distant d une connexion TLS provenant d un autre routeur, le N de port utilisé pour les connexions d utilisateurs distants doit être différent du numéro de port utilisé pour l interconnexion de routeurs par VPN. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 47

Paramètres «Authentification des utilisateurs» : Si l on choisit la valeur «Login / mot de passe», l authentification est réalisée à l aide de ces deux codes uniquement. Si l on choisit la valeur «Login / mot de passe et certificat numérique», la sécurité est renforcée. Le PC distant est authentifié au moyen du certificat enregistré dans le PC et l utilisateur est identifié au moyen du login et du mot de passe. Note : dans ce cas, le nom du certificat du PC de l utilisateur devra être enregistré dans le routeur RAS-E, dans la fiche de l utilisateur. Paramètres «Algorithme de cryptage» et «Algorithme de hachage» : Laisser les valeurs par défaut. Etape 2 : Configuration du logiciel M2Me_Secure du PC Cliquer l icône «Menu» puis «Nouveau site». La fenêtre de paramétrage du site apparaît. Sélectionner l onglet «Général», saisir le nom du site. Sélectionner l onglet «Connexion» ; cocher la case «Ce site est accessible par Internet». Dans le champ «Nom d hôte ou adresse IP», saisir l adresse IP permettant d atteindre le routeur. Sélectionner l onglet «Avancé» ; Choisir le protocole (UDP ou TCP), le N du port et les algorithmes de cryptage et hachage. Ces paramètres doivent avoir la même valeur que ceux sélectionnés dans le routeur. Page 48 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

12.4 Configuration d une connexion de type PPTP Etape 1 : Configurer le routeur Sélectionner le menu «Configuration» puis «Utilisateurs distants», puis «Liste d utilisateurs». Sélectionner le choix «PPTP» comme type de VPN. Etape 2 : Configurer la connexion PPTP dans le PC Voir procédure en annexe 2. 12.5 Connexion distante L2TP / IPSec A compléter RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 49

13 M2Me_Connect pour la prise en main de machine à distance 13.1 Présentation Le service M2Me_Connect permet la prise en main à distance de machines à travers l Internet. Il permet de résoudre les cas où la connexion directe d utilisateurs distants décrite ci-dessus n est pas possible. Prenons, par exemple, le cas d une machine constituée d un ensemble d équipements en réseau et connectée à un réseau d usine ou d entreprise au travers d un routeur RAS-E. Supposons qu un expert souhaite prendre la main à distance sur cette machine pour effectuer un diagnostic de panne, relever des informations techniques ou bien actualiser un programme. La solution la plus simple consiste à établir une connexion PPTP ou TLS directement entre le PC distant et le routeur RAS-E via l Internet le réseau d entreprise sur lequel le routeur est installé. Mais cette solution est souvent impossible à mettre en œuvre parce qu il est souvent interdit d établir une connexion depuis l Internet vers un équipement d un réseau d entreprise. Principe du service M2Me_Connect Le service M2Me_Connect permet de résoudre la difficulté : Grâce à M2Me_Connect, le PC se connecte à la machine pour une opération de maintenance par exemple, même si, ni le PC ni le routeur ne possèdent d adresse publique. Page 50 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Fonctionnement Lorsque l utilisateur distant ouvre son logiciel M2Me_Secure, son PC établit automatiquement une connexion sécurisée vers le service M2Me_Connect. Il s authentifie sur le service au moyen de son certificat. De son côté, le routeur fait de même dés qu il est sous tension. Chacun de ces VPN peut être supporté soit par le protocole UDP soit par TCP. L utilisation du protocole UDP, plutôt que TCP, est recommandée. Il se peut qu un serveur proxy placé sur le réseau du routeur et / ou sur le réseau du PC filtre les connexions vers l Internet ; le routeur d une part et le logiciel M2Me_Secure d autre part fonctionnent en présence de Proxy (voir le paragraphe suivant relatif à la configuration). Une fois connectés au service M2Me_Connect, le PC, sur ordre de son utilisateur, établit une connexion TLS de bout en bout avec le routeur RAS-E ; le routeur vérifie alors que l utilisateur distant fait partie de la liste d utilisateurs autorisés en contrôlant son login et son mot de passe. Le routeur attribue à l utilisateur distant les droits d accès associés à son identité. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 51

13.2 Configuration Pour paramétrer la connexion au service M2Me_Connect, il faut paramétrer le VPN établi depuis le routeur vers le service M2Me_Connect puis le VPN établi depuis le PC vers le service M2Me_Connect. Etape 1 : Configuration du routeur Sélectionner le menu «Configuration», «Utilisateurs distants», puis «M2Me_Connect» et «Connexion». Paramètre «Serveur de médiation» : Sélectionner le choix M2Me pour activer la connexion au service M2Me_Connect. Paramètres «Port TCP et paramètres «Port UDP» : Cocher tous les ports UDP ou TCP que le routeur peut tester afin de tenter d établir la connexion vers le service M2Me_Connect. Si un port UDP ou TCP unique a été autorisé, cocher la case correspondante ou bien saisir la valeur de ce N de port TCP ou UDP. Note 1 : L utilisation du protocole UDP est préférable à TCP. Si un serveur proxy filtre les connexions sortantes, cocher la case «Utiliser un serveur proxy» et saisir les paramètres de ce serveur : Paramètres «Serveur proxy» : Type (HTTPou SOCKS5), Adresse IP et N de port, Login et mot de passe à fournir pour s y présenter (éventuellement). Tester la connexion. Pour commander la connexion du routeur au service M2Me_Connect, cliquer le bouton «Connecter maintenant». Pour vérifier que la connexion aboutit, sélectionner le menu «Diagnostic» puis «Etat réseau» puis «M2Me». Lorsque la connexion aboutit, le message «Connecté» s affiche dans le champ «Etat» ainsi que le N de port et le protocole utilisé. Déselectionner les ports inutilement sélectionnés. Lorsque l on sélectionne un grand nombre de ports, le délai de connexion peut devenir assez long ; une fois le test de connexion effectué, il est Page 52 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

recommandé de retourner à la page «M2Me_Connect», puis «Connexion» pour désélectionner les ports inutilement sélectionnés et ne conserver que le port qui a permis à la connexion d aboutir. Etape 2 : Configuration du logiciel M2Me_Secure du PC distant On explique ci-dessous succinctement comment mettre en œuvre le logiciel M2Me_Secure ; pour plus d information, on se reportera à la notice du logiciel. Ouvrir le logiciel M2Me_Secure et saisir l identificateur et le mot de passe. Pour créer la connexion avec un routeur RAS-E nouvellement installé, cliquer l icône «Menu» puis «Nouveau site». Sélectionner l onglet «Général», et saisir le nom du site du routeur (ce libellé n est qu un mnémonique). Sélectionner l onglet «Connexion» ; cocher les cases «Ce site est accessible par Internet» et «Ce site est visible à travers le service M2Me_Connect». Saisir le code appelé «Product key» ; on le trouve dans le menu «A propos» du routeur RAS-E. Il s agit du résumé du certificat d authentification enregistré dans le routeur en usine; il permet au PC de s adresser au routeur lorsque l un et l autre sont connectés au service M2Me_Connect. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 53

14 Liste d utilisateurs 14.1 Présentation La liste d utilisateurs du routeur RAS-E enregistre l identité de chaque utilisateur distant autorisé à se connecter ainsi que ses paramètres (email ) et ses droits d accés aux machines du réseau local définis dans le firewall. Pour accéder à la liste d utilisateurs, sélectionner le menu «Configuration», puis «Utilisateurs distants», puis «Liste d utilisateurs». Chaque ligne de la liste comporte 2 champs : Le nom de l utilisateur et le filtre de pare-feu qui lui est affecté. Page 54 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

A la livraison, la liste comporte l utilisateur «Default user» Dont le login et le mot de passe sont : admin & admin. MISE EN SERVICE Le filtre «None» lui est affecté, ce qui signifie qu il peut accéder sans restriction à toutes les machines du réseau local. 14.2 Définir des utilisateurs Cliquer sur le bouton «Voir» ou bien sur «Modifier» Le paramètre «Actif» (valeur OUI ou NON) permet de retirer temporairement un utilisateur de la liste. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 55

Paramètre «Nom complet» : C est le libellé qui apparaît dans le premier champ de la liste des utilisateurs autorisés. Il permet en particulier de garder la trace de chaque connexion de l utilisateur dans le journal. Paramètres «Nom d utilisateur» et «mot de passe» : Ce sont deux codes différents attribués à chaque utilisateur. Lorsqu il se connecte à distance, il doit saisir ces deux codes dans les champs correspondants de la fenêtre de CONNEXION DISTANTE. Le nom d utilisateur n a pas à être tenu secret ; il apparaît donc toujours en clair. Le mot de passe doit être gardé secret par chaque utilisateur ; il n apparaît jamais en clair. Paramètre «e-mail» : Il sera utilisé par le routeur soit pour transmettre un e-mail d alarme à la suite du passage en défaut de l entrée TOR, soit lorsque l utilisateur souhaite se connecter par l Internet ; dans ce cas, l adresse IP publique du routeur peut lui être transmise par e-mail. Paramètre «Filtre pare-feu» : Un filtre d utilisateur est simplement un domaine de ports et d adresses IP du réseau local. Attribuer un filtre à un utilisateur donné limite le domaine du réseau local auquel il peut accéder. Par défaut, lorsque l on crée un utilisateur, le filtre «None» lui est attribué ; il donne accés à l ensemble des équipements du réseau local sans restriction. Les filtres d utilisateurs se créent au moyen du menu «Sécurité» puis «Pare-feu» puis «Filtres d utilisateur». Paramètre «Nom commun» : Ce paramètre ne peut être saisi que si l on a choisi un VPN TLS/SSL ou L2TP/IPSec avec authentification par Certificat numérique. Saisir le nom commun du certificat qui sera utilisé par le PC distant pour s authentifier. Si l on utilise le logiciel M2Me_Secure, le nom commun du certificat du PC peut être copié de la manière suivante : Cliquer «Menu» puis «Options» ; sélectionner l onglet «Certificat» ; le nom commun est la chaîne de caractères qui suit «CN=». Copier la chaîne de caractères. Note : Après avoir collé la chaîne de caractères, on aura soin d effacer le dernier caractère puis de le saisir à nouveau pour que l opération soit prise en compte. Page 56 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

On trouvera ci-dessous la reproduction du début d un certificat : MISE EN SERVICE Certificate: Data: Version: 3 (0x2) Serial Number: 191 (0xbf) Signature Algorithm: sha1withrsaencryption Issuer: C=FR, ST=Isere, L=Meylan, O=ETIC Telecommunications, OU=Security, CN=ETIC_Telecom_CA/emailAddress=Security@etictelecom.com Validity Not Before: Nov 22 14:46:58 2007 GMT Not After : Nov 14 14:46:58 2037 GMT Subject: C=FR, ST=Isere, L=Meylan, O=ETIC Telecommunications, OU=Security, CN=b4b4d3c9-b200-4869-8637-edb3d421d55a / emailaddress=b4b4d3c9-b200-4869-8637-edb3d421d55a@etictelecom.com Subject Public Key Info: RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 57

15 Interconnexion de routeurs au moyen de VPNs 15.1 Principes Connexions VPN Chaque connexion VPN est un tunnel établi entre deux routeurs. Un tunnel VPN permet de connecter deux réseaux de façon sûre et transparente. 25 connexions VPN peuvent être créées. Une connexion peut être entrante ou sortante. Si c est le routeur du site distant qui a l initiative de la connexion, alors elle est appelée «connexion entrante» et le routeur distant est appelé «routeur client VPN». Si c est le routeur que l on est en train de configurer qui a l initiative de la connexion, elle est appelée «connexion sortante» ; le routeur distant est appelé «routeur serveur VPN». Type de VPN 2 types de VPN peuvent être établis entre deux routeurs RAS-E : IPSec ou TLS/SSL. Une fois un type de VPN sélectionné (IPSEC ou TLS/SSL, il s applique à l ensemble des connexions avec les sites distants. IPSec On choisira IPSec pour assurer la compatibilité lorsque le routeur RAS-E doit communiquer avec un routeur d une autre marque. TLS/ SSL Ce protocole offre plus de souplesse qu IPSec ; en particulier lorsque le trafic VPN doit être routé au travers de routeurs intermédiaires. On choisira TLS lorsqu il n est pas nécessaire d assurer la compatibilité avec d autres routeurs. Pour paramétrer une connexions VPN, il faut procéder en deux étapes : Etape 1 : Configurer le type de VPN qui sera utilisé (IPSec ou TLS/SSL). Etape 2 : Paramétrer les connexions distantes VPN avec chacun des sites. Page 58 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Pour accéder à la page de configuration des VPNs, MISE EN SERVICE sélectionner le menu «Configuration», puis «Réseau», puis «Connexions VPN». 15.2 Connexions IPSec 15.2.1 Configuration du protocole IPSec Dans la page «Connexion VPN, Sélectionner le choix «IPSec» puis cliquer sur «Propriétés» pour régler les paramètres. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 59

Paramètre «Protocole» : Choisir de préférence ESP qui réalise le cryptage. Paramètre «Authentification par» : Elle peut être assurée soit par une clé prépartagée, soit par un certificat numérique. La clé pré partagée est un code qu utilise le routeur pour s authentifier. La routeur RAS-E peut utiliser la clé pour toutes les connexions (ycompris pour les connexions avec des utilisateurs distants) ou bien utiliser des clés différentes. Le certificat est un fichier complexe qui est utilisé par les routeurs pour s authentifier. Paramètre «Valeur Clé» : Une clé doit être saisie uniquement si l authentification par clé a été choisie. Si l on utilise des clés différentes, le routeur doit posséder une adresse IP fixe ou bien un nom de domaine DYNDNS. Saisir la valeur de la clé qui identifie le routeur. Page 60 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Paramètres «Authentification» et «Cryptage» : Sauf difficulté particulière, on sélectionnera le choix «Auto». MISE EN SERVICE Les algorithmes de cryptage et de hachage proposés sont tous d un haut niveau de sécurité (par exemple l ancien algorithme DES n est pas proposé). Toutefois, AES offre une meilleure sécurité par rapport à 3DES, de même que SHA-1 par rapport MD5. Paramètre «DPD Keepalives» : Le VPN est entretenu périodiquement par chaque routeur ; pour ce faire, et en l absence de données à émettre, chaque routeur transmet une trame de maintien du VPN. Ce paramètre fixe la période d envoi de la trame de maintien du VPN. Paramètre «Mort de la connexion» : Ce paramètre fixe le délai maximum d attente d un message Keep alive. Une fois ce délai échu, et en l absence de réception du message Keep alive, le routeur coupe le VPN. ATTENTION : Une fois les paramètres IPSec configurés, cliquer le bouton «OK» puis sur le bouton «Enregistrer» avant de configurer une connexion distante. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 61

15.2.2 Configurer une connexion IPSEC sortante Adresse IP LAN Connexion sortante Adresse IP WAN Routeur VPN Réseau IP Adresse IP LAN distant Adresse IP WAN distant Routeur distant Cliquer sur le bouton «Ajouter une connexion» et choisir «Connexion sortante». Paramètre «Adresse WAN distant» : Saisir l adresse Ip de l interface WAN du routeur distant. Si le routeur distant est un autre routeur ADSL, cette adresse est l adresse Internet du routeur distant, soit son nom de domaine. Page 62 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Paramètres «Adresse LAN distante» et «masque du Lan distant» : Entrer l adresse et le netmask du réseau LAN distant. Attention : Si le netmask vaut 255.255.255.0 par exemple, l adresse du LAN distant s écrit X.Y.Z.0 Cas de l authentification par clé partagée Si la clé saisie lors de la configuration du type de VPN (IPSec) doit être utilisée pour la connexion VPN en cours de paramétrage, aucune configuration complémentaire ne doit être effectuée. Si une autre clé doit être utilisée, cocher la case «Utiliser une clé spécifique pour cette connexion» et compléter le paramétrage selon les indications ci-dessous : Paramètre Valeur clé : Saisir la clé. Paramètre Mon adresse IP WAN : Saisir l adresse IP du routeur sur l interface WAN. Cette adresse est l adresse Internet du routeur. Cas de l authentification par certificat Paramètre Mon SubjectAlt Name : Il s agit du champ «Adresse email du propriétaire» du certificat du routeur dont le paramétrage est en cours. Ce paramètre est utilisé par le routeur pour s authentifier. Pour obtenir la valeur de ce champ du certificat, sélectionner le menu «Sécurité» puis «Certificat X509». La liste des certificats enregistrés s affiche ; cliquer «Afficher». Le résumé du certificat s affiche ; copier le champ «Adresse email» de l alinéa «Propriétaire». Attention : Après avoir collé ce champ, supprimer le denier caractère collé et le saisir à nouveau pour qu il soit pris en compte. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 63

Paramètre SubjectAlt Name distant : Saisir la valeur du champ «email» de l alinéa Propriétaire» du certificat du routeur distant. Pour obtenir la valeur de ce champ, accéder au routeur distant et procéder comme pour le paramètre précédent. 15.2.3 Configurer une connexion IPSec entrante Adresse IP LAN Connexion entrante Adresse IP WAN Routeur VPN Réseau IP Adresse IP LAN distant Adresse IP WAN distant Routeur distant Cliquer sur le bouton «Ajouter une connexion» puis choisir «Connexion entrante». Page 64 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Paramètres «Adresse du réseau LAN distant» et «Masque du réseau LAN distant» : Entrer l adresse et le netmask du réseau LAN distant. Attention : Si le netmask vaut 255.255.255.0 par exemple, l adresse du LAN distant s écrit X.Y.Z.0 Cas de l authentification par clé prépartagée : Si la clé saisie lors de la configuration du type de VPN (IPSec) doit être utilisée pour la connexion VPN en cours de paramétrage, aucun paramétrage complémentaire ne doit être effectué. Si une autre clé doit être utilisée, cocher la case «Utiliser une clé spécifique pour cette connexion» et compléter le paramétrage selon les indications ci-dessous : Paramètre Valeur clé : Saisir la clé. Paramètre Mon adresse IP WAN : Saisir l adresse IP du routeur sur l interface WAN. Cette adresse est l adresse Internet du routeur. Paramètre Adresse IP WAN distante : Saisir l adresse IP du routeur sur l interface WAN du routeur distant. Si le routeur distant est un autre routeur ADSL, cette adresse est l adresse Internet du routeur distant. Cas de l authentification par certificat : Paramètre Mon SubjectAlt Name : Il s agit du champ «email» du certificat du routeur dont le paramétrage est en cours. Ce paramètre est utilisé par le routeur pour s authentifier. Pour obtenir la valeur de cette adresse email, sélectionner le menu «Securité» puis «Certificat X509». La liste des certificats enregistrés s affiche ; cliquer «Afficher». Le résumé du certificat s affiche ; copier le champ «Adresse email» de l alinéa «Propriétaire». RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 65

Attention : Après avoir collé ce champ, supprimer le denier caractère collé et le saisir à nouveau pour qu il soit pris en compte. Paramètre SubjectAlt Name distant : Il s agit du champ «email» du certificat du routeur distant Ce paramètre est utilisé par le routeur distant pour s authentifier. Pour obtenir cette adresse, accéder au routeur distant et procéder comme pour le paramètre précédent. 15.3 Connexions TLS 15.3.1 Configuration du protocole TLS / SSL Si l on choisit un tunnel TLS / SSL, l authentification réciproque des routeurs est assurée au moyen des certificats numériques complétés par des codes de sécurité (Login et mot de passe). Le routeur RAS-E est livré avec un certificat chargé en usine. Ce certificat est délivré par ETIC TELECOM agissant en autorité de certification. Si nécessaire, un ou des certificats numériques supplémentaires peuvent être ajoutés (voir menu «Sécurité» puis «Certificats». Pour paramétrer le type de VPN «TLS», dans la page connexion VPN, Sélectionner le choix «TLS» puis cliquer sur «Propriétés» pour régler les paramètres. Paramètres «Numéro de port» et «protocole» : On choisira de préférence le protocole UDP plutôt que TCP pour une meilleure efficacité. Attention : Le numéro de port utilisé pour l interconnexion de routeurs par VPN doit être différent du N de port utilisé pour les connexions d utilisateurs distants. Paramètres «Adresse réseau VPN» et masque réseau VPN : Une adresse IP doit être attribuée à chaque extrémité du tunnel. Il s agit d une adresse IP appartenant à un réseau privé et nécessaire pour le fonctionnement du tunnel, mais non visible pour les applications. Cette adresse IP ne doit pas être confondue avec l adresse IP du routeur sur le Page 66 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

réseau WAN. Cette valeur est utilisée seulement lors de la configuration d'un nœud entrant. Adresse IP LAN Adresse IP du réseau VPN (172.16.1.0 par défaut) VPN IP network Adresses IP des interfaces WAN Adresse IP LAN Paramètre «délai de détection» : Le VPN est entretenu périodiquement par chaque routeur ; pour ce faire, et en l absence de données à émettre, chaque routeur transmet à l autre une trame de maintien du VPN. A l issue du «délai de détection», et en l absence de réception de cette trame, le VPN est coupé. Paramètre «Délai de retransmission» : A compléter Paramètres «Algorithmes de cryptage et de hachage» : Les algorithmes de cryptage et de hachage proposés sont tous d un haut niveau de sécurité (par exemple l ancien algorithme DES n est pas proposé). Toutefois, AES offre une meilleure sécurité par rapport à 3DES, de même que SHA-1 par rapport MD5. ATTENTION : Une fois les paramètres TLS configurés, cliquer sur le bouton «OK» puis sur le bouton «Enregistrer» avant de configurer une connexion distante. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 67

15.3.2 Configurer une connexion TLS sortante Sélectionner le menu «Routage» ; cliquer sur «Connexions distantes». Cliquer sur le bouton «Ajouter une connexion» Choisir «Connexion sortante». Adresse IP LAN Connexion sortante Adresse IP WAN Routeur VPN Réseau IP Adresse IP LAN distant Adresse IP WAN distant Routeur distant Paramètre «Identifiant et mot de passe» : Indiquer l'identifiant et le mot de passe qui seront utilisés pour s'authentifier auprès du noeud distant en complément du certificat. Paramètre Adresse WAN distante : L adresse WAN distante est soit l adresse IP du routeur distant, soit son nom de domaine. Page 68 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

15.3.3 Configurer une connexion TLS entrante Sélectionner le menu «Routage» ; cliquer sur «Connexions distantes». Cliquer sur le bouton «Ajouter une connexion». Choisir «Connexion entrante». Adresse IP LAN Connexion entrante Adresse IP WAN Routeur VPN Réseau IP Adresse IP LAN distant Adresse IP WAN distant Routeur distant Paramètre «Identifiant et mot de passe» : Indiquer l'identifiant et le mot de passe du routeur distant. Paramètre «Adresse LAN distante» : Saisir l adresse du réseau LAN distant et le masque de ce réseau. Attention : Si le masque est 255. 255.255.0, l adresse IP saisie doit être de la forme X.Y.Z.0. Paramètre «Nom commun» : Dans ce champ doit saisie la chaîne de caractère "Nom courant" du certificat que le routeur distant devra utiliser pour s'identifier. On trouve le «nom courant» au menu «Sécurité» puis «Certificat» du routeur distant. Dans cette page, copier la chaîne comprise entre «délivré à» et «par ETIC TELECOM». Puis coller la chaîne de caractères dans le champ «Nom commun» de la fenêtre de connexion distante. Enfin, pour valider la saisie, effacer le dernier caractère collé puis le saisir à nouveau au moyen du clavier. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 69

16 Routage 16.1 Fonction de base Le routeur R2 (voir schéma ci-dessous) est prêt à effectuer sa fonction de routeur entre le réseau LAN et le réseau WAN dés qu on lui a attribué une adresse IP sur l interface LAN (ici 192.168.2.128) et une autre sur l interface WAN (ici 192.168.3.128). 192.168.5.128 192.168.4.128 192.168.3.128 192.168.2.128 Réseau LAN distant 192.168.5.0 RL1 Routeur R3 VPN Réseau WAN distant Réseau WAN Routeur R2 W1 Réseau LAN 192.168.2.0 L1 Il faut cependant ouvrir le firewall pour permettre aux trames de transiter d une interface à l autre du routeur. Il peut alors router des trames IP entre le réseau de l interface WAN et réseau de l interface LAN, par exemple entre la machine W1 et la machine L2 du schéma ci-dessus ; entre le réseau «LAN distant» et le réseau LAN au travers du VPN s il a été défini; par exemple entre la machine RL1 et la machine L1 du schéma ci-dessus. Pour que le routage s effectue, Il faut en outre configurer les équipements (L1, L2, W1, RL1 sur le schéma) raccordés aux différents réseaux pour qu eux-mêmes sache à quel routeur s adresser pour passer d un réseau à l autre. Cas des machines du réseau LAN Pour qu une machine du réseau LAN puisse échanger des trames IP avec une machine du réseau WAN, l adresse LAN du routeur RAS-E doit y être enregistrée, en tant que routeur par défaut. Page 70 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Si un machine du réseau LAN est un PC ou une machine équivalente, on peut soit utiliser la méthode générale décrite ci-dessus, soit y créer une route statique dont le rôle est de désigner le routeur RAS-E comme passerelle vers les autres réseaux (WAN, WAN distant, LAN distant). Voir paragraphe ci-dessous consacré aux routes statiques. On peut aussi utiliser le protocole RIP. Voir paragraphe ci-dessous consacré à ce protocole. Cas des machines du réseau WAN Pour qu une machine du réseau WAN puisse échanger des trame avec une machine du réseau LAN, l adresse WAN du routeur RAS-E doit y être enregistrée, en tant que routeur par défaut. On peut aussi créer dans ces machines une route statique ou bien utiliser le protocole RIP. 16.2 Enregistrement de routes statiques dans le routeur Après avoir configuré ses adresses LAN et WAN et défini la connexion VPN, le routeur R2 (voir schéma ci-dessus) peut router les trames entre le réseau LAN et le WAN et inversement, ainsi qu entre le LAN et le réseau Remote LAN et inversement au travers du VPN. Mais il ne peut pas router des trames entre le LAN et un réseau connecté au réseau LAN distant (réseau 6 du schéma ci-dessous). La raison de cette difficulté est que le réseau 6 n est pas connu du routeur R2. La déclaration de routes statiques permet de résoudre ce problème. Une route statique associe l adresse d un routeur voisin à une adresse IP de réseau de destination (adr. Réseau = adr. de base + netmask). RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 71

Réseau 6 192.168.6.0 Réseau 1 192.168.1.0 Réseau LAN distant 192.168.5.0 RL1 192.168.6.24 192.168.1.24 Routeur Routeur R1 R4 192.168.4.128 192.168.3.128 192.168.2.128 192.168.5.1 192.168.2.1 Routeur R3 192.168.5.128 VPN Réseau WAN distant Réseau WAN Routeur R2 W1 Réseau LAN 192.168.2.0 L1 On décrit ci-dessous les routes statiques qui doivent être enregistrées dans le routeur R2 pour que tous les équipements de chacun des réseaux puissent échanger des paquets IP. Route statique à enregistrer dans le routeur R2 Active Nom de la Destination Masque de Passerelle route réseau Oui Vers Réseau 6 192.168.6.0 255.255.255.0 192.168.5.1 Oui Vers Réseau 1 192.168.1.0 255.255.255.0 192.168.2.1 Oui Vers Réseau WAN distant 192.168.4.0 255.255.255.0 192.168.5.128 De la même façon, il faut enregistrer des routes dans les routeurs R1, R3 et R4. Remarque : Il n est pas nécessaire d enregistrer dans R2 une route vers le réseau WAN ni vers le réseau LAN distant; en effet, R2 les connaît puisque l adresse et le netmask du réseau WAN ainsi que l adresse du réseau LAN distant ont été déclarés au cours de la configuration. Page 72 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Pour programmer une route statique, sélectionner le menu «Configuration», puis «Routage» puis «Route statique» puis cliquer «Ajouter une route». Nom de la route : Entrer un mnémonique pour désigner la route. Adresse IP de destination & netmask : Entrer l adresse IP du réseau de destination et le netmask de ce réseau. Passerelle : Saisir l adresse IP de la passerelle (routeur) permettant l accès à ce réseau. 16.3 Protocole RIP RIP (Routing Information Protocol) est un protocole de routage IP qui permet à chaque routeur d un réseau de connaître la route menant à un sous réseau quelconque de ce réseau. Le principe utilisé est le suivant : Diffusion des tables de routage Chaque routeur transmet aux routeurs voisins et aux écouteurs RIP voisins, la table qui associe à chaque destination du réseau l adresse du routeur voisin menant à cette destination ainsi que la métrie de la route pour y parvenir. Mise à jour des tables de routage Chaque routeur met à jour sa propre table au moyen des informations reçues des autres. Le protocole RIP permet d éviter de déclarer les routes statiques dans chacun des routeurs. Prenons l exemple du réseau du paragraphe précédent ; au lieu de déclarer les routes statiques dans les routeurs R1, R2, R3 et R4, i lest possible d activer le protocole RIP dans chacun des routeurs. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 73

Pour activer le protocole RIP, sélectionner le menu «Configuration», puis «Routage» puis «RIP». Cocher les cases «Activer RIP sur l'interface LAN» et la case Activer RIP sur l'interface WAN». Page 74 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

17 Translation d adresses et redirection de port Le routeur RAS-E offre différentes fonction de substitution d adresses IP. Ces fonctions consistent à remplacer l adresse IP et le port source ou destination de certaines trames IP traitées par le routeur. Les possibilités offertes sont les suivantes : 17.1 Translation d adresse Cette fonction s applique aux trames IP issues d un équipement du réseau LAN et destinées au réseau WAN. Elle consiste à remplacer l adresse IP source (celle de l équipement du LAN) par l adresse IP WAN du routeur et à effectuer l opération inverse pour les trames de réponse. Cette fonction est utile lorsque les équipements du LAN doivent échanger des trames avec l Internet. Pour activer la fonction NAT, sélectionner le menu «Configuration» puis «Interface WAN», puis «Protocole IP». Cocher la case «Activer la translation d adresse NAT». 17.2 Redirection par port 17.2.1 Principe La redirection de port consiste à transférer vers une machine définie du réseau LAN, un trafic adressé au routeur RAS-E sur son interface WAN. Elle s applique aux trames adressées au routeur RAS-E sur l interface WAN. Le critère de «redirection» est le N du port utilisé ; le mécanisme consiste à utiliser le N de port de destination comme un complément d adresse IP : Une trame IP adressée sur l interface WAN au routeur RAS-E sur le port RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 75

déterminé P1 (ou un ensemble de ports) peut être redirigée vers un équipement déterminé du réseau LAN. Le mécanisme de redirection de port décrit ci-dessus permet de résoudre le cas où un équipement appartenant au réseau WAN veut échanger des trames IP avec une ou des équipements du réseau LAN alors que les adresses du réseau LAN ne peuvent être transportées dans le réseau WAN. La vraie solution à ce problème est d établir un VPN ; mais lorsque ce n est pas possible la redirection de port apporte la solution. Exemple : Considérons un réseau 1 et un réseau 2 connectés par un routeur RAS-E selon le schéma ci-dessous. Supposons 1/ que le PC «W1» du réseau WAN ait à échanger des trames avec l équipement PLC1 du réseau LAN. 2/ que les adresses du réseau LAN ne puissent pas circuler sur le réseau WAN, quelle que soit la raison. La solution la plus performante serait d établir un VPN qui assurerait à la fois la transparence et la sécurité ; si ce n est pas possible, on peut procéder comme suit : adr IP WAN : 62.10.10.7 PLC1 192.168.0.15 TCP : 102 W1 Réseau WAN 62.10.10.7 TCP : 102 PLC2 192.168.0.16 TCP : 502 PC 192.168.0.17 TCP : 80 Lorsque le PC «W1» doit adresser une trame à l équipement «PLC1» du réseau LAN, il l adresse à l adresse IP WAN du routeur RAS-E (62.10.10.7 dans notre exemple) et sur le port 102 (par exemple). Le routeur RAS-E analyse la trame, modifie l adresse IP de destination et éventuellement le N de port, puis route la trame vers le réseau LAN. Page 76 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Port (destination) Redirection Service Device Service 102 192.168.0.15 102 502 192.168.0.16 502 80 192.168.0.17 80 Note : Les trames IP «redirigées» sont transférées directement à l équipement choisi sans passer par le filtre principal du firewall. 17.2.2 Configuration Pour programmer une règle de redirection de port, Sélectionner le menu «Configuration» puis «Réseau», puis «Routage» et «Redirection de port». Saisir les caractéristiques des trames qui doivent être redirigées : N de port (de destination), protocole de transport (TCP, UDP ), adresse IP source (optionnelle). Saisir les caractéristiques des trames modifiées : Adresse IP et N de port de destination, et protocole de transport(tcp, UDP ). RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 77

18 Firewall (ou pare-feu) 18.1 Présentation Le pare feu a pour but de filtrer les échanges de trames IP entre l interface WAN et l interface LAN pour protéger les équipements connectés au réseau LAN. Il comporte trois parties : Les filtres d «Utilisateur distant» Ils permettent d autoriser ou d interdire l accès à chaque équipement connecté à l interface LAN en fonction de l identité de l utilisateur distant (Login et mot de passe et éventuellement certificat) lorsqu il se connecte au moyen de la connexion PPTP ou TLS. Par exemple, on peut attribuer à l utilisateur de login «admin» et de mot de passe «admin» un filtre bloquant toutes les trames issues de son PC sauf celle qui sont adressées à un équipement particulier de l interface LAN. Le filtre principal Il filtre les trames IP en fonction de l adresse IP et du port source et de l adresse IP et du port destination. Ce filtrage s applique aux trames véhiculées dans les VPN (PPTP, TLS, IPsec) ou hors des VPN. Pour une meilleure organisation, il comporte deux filtres séparés : Le filtre qui agit sur les trames IP véhiculées dans les VPN Le filtre qui agit sur les trames IP véhiculées hors des VPN Note : La fonction dite de redirection de port qui renvoie le trafic destiné au routeur sur l interface WAN vers une adresse IP particulière de l interface LAN sur le critère de N de port, n est pas soumise au filtre principal. Le filtre de déni de Service Le filtre de déni de service (DoS) protège les équipements de l interface LAN contre les attaques par saturation pouvant provenir de l interface WAN : Ping de la mort, SYN flood Ce filtre est prédéfini et n est pas configurable par l utilisateur. Il toujours opérationnel sur l interface WAN. Page 78 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Synoptique du pare-feu VPN utilisateurs Filtres utilisateurs VPN sites distants WAN Filtre principal LAN Filtre DoS Redirection de port FIRE-WALL 18.2 Filtres d Utilisateurs 18.2.1 Présentation Les filtres d Utilisateur s appliquent aux trames IP circulant dans une connexion distante d utilisateur (TLS ou PPTP). On peut composer 25 filtres d Utilisateur au maximum. Un filtre d Utilisateur est un ensemble d adresses IP de destination autorisées sur le réseau LAN. Exemple : Le filtre ci-dessous autorise l accés à l équipement PLC1 sur les portstcp/80 et TCP/502. Nom du filtre : Accès à l automate en html Politique du filtre : Tout ce qui n est pas autorisé est interdit Action Machine Service Autoriser PLC1 192.168.0.12 TCP / 80 Autoriser PLC1 192.168.0.12 TCP / Modbus 502 Chaque filtre doit être attribué à au moins un utilisateur pour être rendu actif. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 79

Lorsqu un utilisateur se connecte au moyen d une connexion PPTP ou TLS, il est identifié par le routeur au moyen de son login et son mot de passe et éventuellement un certificat numérique. Le filtre qui a été affecté à cet utilisateur est alors appliqué par e routeur RAS-E. Note importante : A la livraison du produit, un utilisateur par défaut est enregistré; son login est «admin» et son mot de passe «admin». Le filtre appelé «none» lui est affecté. Ce filtre autorise l accès à tous les équipements du réseau LAN. 18.2.2 Configuration des filtres utilisateurs Etape 1 : Compléter la liste des services si nécessaire Note importante : de nombreux services sont créés en usine, tel que html, ftp etc, si bien que dans la plupart des cas, cette étape peut être passée. Sélectionner le menu «Configuration», «Système» puis «Liste des services» ; la liste des services déjà enregistrés s affiche. Ajouter un nouveau service en cliquant le bouton «Ajouter un service» en bas de l écran. Enregistrer un libellé (le nom que vous souhaitez donner au service), sélectionner un protocole dans la liste proposée (udp, tcp, icmp) et désigner le N de port attribué à ce service. Valider. Le service qui vient d être créé apparaît maintenant dans la liste des services. Page 80 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Etape 2 : Définir la liste des machines du réseau local Sélectionner le menu «Configuration», «Système» puis «Liste des machines» ; la liste des machines déjà enregistrés s affiche. Ajouter une nouvelle machine en cliquant le bouton «Ajouter une machine» en bas de l écran. Enregistrer un libellé (le nom que vous souhaitez donner à la machine) et saisir son adresse IP. Valider. La machine qui vient d être définie apparaît maintenant dans la liste des machines. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 81

Etape 3 : Composer un filtre Utilisateur Sélectionner le menu «sécurité» puis «pare-feu «puis «Filtres Utilisateurs» ; la liste des filtres déjà enregistrés s affiche. Créer un nouveau filtre en cliquant le bouton «Nouveau filtre». Saisir un libellé (le nom que vous souhaitez donner au filtre) ; exemple de libellé : Accès au serveur web de l automate N 1 Cliquer sur le bouton radio «On désigne ce que l'on autorise et tout le reste est interdit» si vous souhaitez que chaque règle désigne ensuite une machine explicitement autorisée ; c est la solution prudente. Cliquer sur le bouton radio «On désigne ce que l'on interdit et tout le reste est autorisé» si vous souhaitez que chaque règle désigne ensuite une machine interdite. Cliquer sur le bouton «ajouter une règle» ; une ligne s ajoute dans le tableau du filtre. Sélectionner une machine (autorisée ou interdite selon le cas) puis un service. Ajouter autant de règles que nécessaire en cliquant sur «ajouter une règle». Page 82 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Lorsque le filtre est complet, valider en cliquant le bouton OK puis sauvegarder. La liste actualisée des filtres s affiche. Etape 4 : Affecter les filtres aux utilisateurs Une fois la liste de filtres composée, il faut les rendre actifs en les affectant aux utilisateurs. Sélectionner le menu «Configuration» puis «Utilisateurs». Sélectionner l utilisateur de la liste auquel vous souhaitez affecter un filtre, en cliquant le bouton «Modifier» ; la fiche de l utilisateur apparaît. Lui affecter un filtre en sélectionnant l un des filtres proposés et valider par «OK». Sauvegarder la liste d utilisateurs modifiée en cliquant «sauvegarder la liste». RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 83

18.3 Filtre principal 18.3.1 Présentation Trames IP filtrées par le filtre principal Le filtre principal s applique aux trames IP véhiculées dans les VPN ou à l extérieur des VPN. Le filtre principal ne s applique pas aux trames IP véhiculées dans les connexions d utilisateurs distants que ce soit PPTP ou TLS. Pour reconnaître une connexion d utilisateur distant de type TLS, le routeur détecte le N de port : Si le N de port détecté est le N déclaré pour ce type de connexion (menu «Liste d utilisateurs»), la connexion est considérée comme une connexion d utilisateurs distants ; les filtres d utilisateurs s appliqueront alors. On veillera donc à choisir un N de port différent pour les connexions TLS d Utilisateur et les connexion VPN TLS entre routeurs. Structure du filtre principal Pour une meilleure organisation, il comporte deux filtres séparés mais de structure identique : Le filtre intitulé VPN : il agit sur les trames IP véhiculées dans les VPN Le filtre intitulé WAN : Il agit sur les trames IP véhiculées hors des VPN Chacun d eux est constitué d une politique par défaut et d un tableau dont chaque ligne est une règle de filtrage. Politique par défaut : C est l action qui sera appliquée à une trame qui n est conforme à aucune règles du tableau. On considère séparément les deux directions de trafic car on peut souhaiter que la décision prise soit différente selon qu un paquet provient du LAN ou du WAN. On peut souhaiter, par exemple que la politique par défaut interdise le routage «WAN vers LAN» mais autorise le routage «LAN vers WAN». Page 84 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

La politique par défaut prudente consiste à interdire le trafic WAN vers LAN et éventuellement LAN vers WAN ; de cette façon, toute trame qui ne se conforme pas à l une des règles du filtre est bloquée. En effet, supposons que la politique par défaut consiste à autoriser le trafic WAN vers LAN ; alors tout flux IP qui ne serait conforme à aucune des règles du filtre principal, serait routée vers le LAN. Tableau de règles du filtre Le filtre principal est un tableau ; chaque ligne est une règle de filtrage. Chaque règle définit une action (autoriser ou interdire) associée à un flux IP défini par les différents de la ligne : Direction («LAN vers WAN» ou «WAN vers LAN»), protocole (TCP, UDP ), @IP et port source @IP et port destination Voici un exemple de filtre qui autorise deux équipements du réseau WAN (192.168.2.X) à accéder à un équipement particulier du réseau LAN. Tout autre flux du WAN vers le LAN est interdit. Politique par défaut : LAN -> WAN : Autoriser WAN -> LAN : interdire Direction Action Protocole @ IP source port src @IPdestination port dest WAN->LAN Autoriser any 192.168.2.1 any 192.168.1.12 any WAN->LAN Autoriser TCP 192.168.2.2 any 192.168.1.12 502 Fonctionnement Lorsque le firewall reçoit une trame IP, il vérifie successivement la conformité aux règles du filtre. Si la trame n est pas conforme à la première règle, elle est soumise à la suivante et ainsi de suite. Dés qu elle est conforme à une règle du tableau, le firewall lui applique l action associée (autoriser ou interdire). Si la trame n est conforme à aucune règle, la politique par défaut lui est appliquée (autoriser ou interdire). Note importante : A la livraison, le filtre principal bloque le trafic du LAN vers le WAN et du LAN vers le WAN. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 85

18.3.2 Configuration du filtre principal Sélectionner le menu «Configuration», «Sécurité», «Pare-feu» puis «Filtre principal». Pour des raisons de clarté, Le filtre principal est divisé en 2 tableaux : Le premier tableau est intitulé «Règles pour le trafic WAN» ; c est le filtre des trames non véhiculées dans les VPN. Le second tableau est intitulé «Règles pour le trafic VPN» ; c est le filtre des trames véhiculées dans les VPN. Page 86 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Le paramétrage des deux tableaux s effectue de la même manière. Paramétrer successivement chacun des deux filtres. Suivant la procédure ci-dessous. Etape 1 : Déterminer la politique par défaut Sélectionner la politique par défaut pour le trafic WAN vers LAN (par prudence, choisir «Interdire»). Faire de même pour le trafic LAN vers WAN. (par prudence, choisir «Interdire»). Etape 2 : saisir le tableau de règles Cliquer sur le bouton «Ajouter une règle». Saisir la règle : Direction : (WAN vers LAN ou inversement) Action : (Autoriser ou interdire) Protocole : TCP, UDP Adr. IP et port source Adr. IP et port destination Note : Entrer un numéro sous la forme xx,yy,...,zz pour désigner un groupe de ports (par exemple 21,80 pour spécifier FTP et HTTP) Entrer un numéro sous la forme xx :yy pour désigner une plage de ports (par exemple 80:90 pour désigner tous les ports entre 80 et 90) RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 87

19 Passerelles série 19.1 Présentation des types de passerelles Certains modèles du routeur comportent 2 liaisons série : Soit 2 RS232, soit 1 RS232 et 1 RS485. Une passerelle peut être affectée à chaque liaison série. Une passerelle série permet d utiliser le réseau IP pour faire communiquer des équipements série entre eux ou bien avec des équipements IP. Communication entre équipements à interface série Communication avec une application sur PC windows prévue initialement pour dialoguer par la liaison série. Le logiciel d émulation de port COM Be-IP est une passerelle software qui permet d utiliser sur un réseau IP un logiciel d application conçu initialement pour communiquer sur une liaison série. Page 88 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Communication avec application sur PC capable d empaqueter un protocole série dans UDP ou TCP (modbus TCP par exemple) Pour réaliser les fonctions décrites ci-dessus et s adapter aux différentes situations qu il est possible de rencontrer, différents types de passerelles sont proposées : er 1 type : Passerelle Modbus Ce type de passerelle permet de raccorder à la liaison série un équipement modbus maître, ou bien des équipements modbus esclaves ou bien les deux, pour les faire communiquer avec d autres équipements modbus TCP ou modbus asynchrones connectés au réseau IP. 2eme type : Passerelle transparente point à point Cette passerelle est appelée RAW client ou RAW serveur ; elle permet de relier un équipement asynchrone à un équipement du réseau IP. 3eme type : Passerelle de diffusion vers un ensemble d abonnés IP RAW UDP) Cette passerelle est appelée RAW UDP client ou RAW UDP serveur ; elle permet de relier un équipement asynchrone à un ensemble d équipements du réseau IP désignés lors de la configuration. Cette solution est très simple de mise en œuvre ; on désigne chaque correspondant par son adresse IP; les données RS232 sont envoyées sous forme de trames IP adressées individuellement à chaque correspondant enregistré ; réciproquement, les données reçues par la passerelle au N de port convenu, sont transmises sur la liaison série. 5eme type : Passerelle Telnet Cette passerelle permet à un PC sur le réseau IP et équipé d un logiciel client Telnet de se connecter à un équipement serveur Telnet raccordé à la liaison série du switch XSLAN. Le débit et le format de la liaison série peuvent être pilotés selon la recommandation RFC2217. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 89

19.2 Passerelle Modbus La passerelle Modbus permet de connecter des équipements série RS232-RS485 esclaves ou maître à un ou plusieurs équipements modbus TCP (clients ou serveurs selon le cas) connectés au réseau IP. 19.2.1 Définitions Un client TCP MODBUS est un équipement connecté au réseau IP et capable de transmettre une requête Modbus (= question ; par ex. demande de lecture ou d écriture) à un autre équipement du réseau appelé serveur TCP MODBUS qui lui répondra. Le client est l équivalant d un maître Modbus, mais plusieurs clients peuvent poser des questions au même serveur. Un serveur TCP MODBUS est un équipement connecté au réseau IP et capable de répondre à une requête Modbus posée par un autre équipement du réseau appelé client TCP MODBUS. Le serveur est l équivalant d un esclave Modbus ; mais un serveur peut répondre à plusieurs client. Un maître Modbus est un équipement connecté à la liaison série RS232 ou RS485 et capable de poser une requête Modbus à un autre équipement du réseau appelé esclave MODBUS. Un esclave Modbus est un équipement connecté à la liaison série RS232 ou RS485 et capable de poser une question Modbus à un autre équipement du réseau qui est appelé esclave MODBUS. Adresse Modbus : Elle code entre 0 et 255 le destinataire d une requête modbus adressée à un serveur modbus (réseau IP) ou à un esclave modbus (liaison série). Attention : Ne pas confondre adresse modbus et adresse IP. Pour plus de concision le mot «adresse» est souvent remplacé par le signe @ dans la suite du texte. Page 90 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

19.2.2 Choix de la passerelle Client ou de la passerelle Serveur Pour connecter des équipements «série» esclaves modbus à un ou plusieurs équipements TCP modbus client, sélectionner le menu passerelle «Modbus serveur». Pour connecter un équipement «série» maître modbus à un ou plusieurs équipements TCP modbus serveur, sélectionner le menu passerelle «Modbus client». 19.2.3 Passerelle modbus client La passerelle modbus client permet la connexion d un maître modbus sur la liaison série. Plusieurs serveurs TCP modbus peuvent être adressés sur le réseau ip. D autres esclaves peuvent être connectés à la liaison série. Principe de la passerelle modbus Client : Pour adresser un serveur TCP modbus sur le réseau IP, on configure une table de correspondance entre une @ modbus esclave et une @ IP ; ainsi, lorsque le maître modbus transmet une requête à destination de l esclave d @ modbus A, le tableau de correspondance permet de transmettre cette requête à l @ IP correspondant à l @ A. De plus, le champ adresse modbus de la trame modbus TCP prend la valeur A. Le tableau de correspondance peut comporter 32 lignes permettant ainsi à un maître modbus d adresser 32 serveurs sur le réseau IP. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 91

Configuration de la passerelle modbus Client : Sélectionner le menu «Passerelle IP-RS», puis cliquer le menu «Modbus» puis «Modbus client». Cocher «activer la passerelle». Paramètre «Sélection du port» : Choisir la liaison série 1 ou 2 du routeur. Bouton «COM» : Permet de configurer les paramètres débit et format de la liaison série. Protocole Modbus : Sélectionner RTU (hexadécimal) ou ASCII selon le besoin. Temps inter caractères : Fixe le temps maximum admissible entre caractères des réponses de l esclave modbus. Timeout d'inactivité sur TCP : Fixe le temps au bout duquel la liaison TCP est rompue en cas d absence de requêtes modbus reçues du réseau IP. Numéro du port TCP : Fixe le N du port TCP à utiliser. Le N de port modbus par défaut est 502. Tableau de correspondance : Le tableau de correspondance permet de faire correspondre une adresse d esclave modbus et une adresse IP. Page 92 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

19.2.4 Passerelle modbus serveur La passerelle permet la connexion d esclaves modbus sur la liaison série. 32 esclaves, au maximum, peuvent être connectés au port RS485. Principe de la passerelle Modbus serveur : Un client TCP modbus adresse une requête TCP modbus à la passerelle ; La passerelle se comporte en maître sur la liaison série. Elle «répète» la requête sur la liaison série ; l adresse de la requête émise sur la liaison série est, soit l adresse contenue dans le champ d adresse modbus TCP, dans ce cas, plusieurs esclaves peuvent être adressés sur la liaison série : RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 93

soit une adresse fixe configurée dans la passerelle (voir ci-dessous) ; dans cas, un seul esclave peut être adressé sur la liaison série : Attention : Plusieurs client TCP modbus peuvent adresser des requêtes aux esclaves de la liaison série. Néanmoins, on prendra garde à ne pas saturer la liaison série puisque son débit est bien inférieur à celui d ethernet. Configuration de la passerelle Modbus serveur : Sélectionner le menu «Passerelle IP-RS», puis cliquer sur «Modbus», puis «Modbus serveur». Cocher «activer la passerelle». Paramètre «Sélection du port» : Choisir la liaison série 1 ou 2 du routeur. Bouton «COM» : Permet de configurer les paramètres débit et format de la liaison série. Protocole Modbus : Sélectionner RTU (hexadécimal) ou ASCII selon le besoin. Activer la fonction proxi-cache : Si cette fonction est active, une requête n est adressée à un esclave que si la même requête ne lui a pas été adressée depuis le temps fixé par le paramètre «rafraîchissement du cache. Rafraîchissement du cache : Fixe le délai minimum entre deux requêtes identiques adressées au même esclave. Page 94 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Paramètre «Temps d attente réponse esclave» : C est le délai d attente de réponse à la requête adressée à un esclave. Paramètre»Nombre de réitérations» : Fixe le nombre de réitérations d une requête modbus par le routeur en cas de non réponse de l esclave modbus. Paramètre «Temps inter caractères» : Fixe le temps maximum admissible entre caractères des réponses de l esclave modbus. Paramètre «Adresse esclave Modbus» : Si la valeur «spécifiée par le client modbus» est sélectionnée, la passerelle utilise l adresse modbus spécifiée par le client modbus pour adresser l esclave modbus de la liaison série ; on peut ainsi adresser jusqu à 32 esclaves de la liaison série. Si l on sélectionne une valeur particulière (entre 1 et 255), la passerelle adresse toutes les requêtes au N d esclave sélectionné ; on ne peut interroger qu un seul esclave sur la liaison série. Paramètre «Time out d'inactivité sur TCP» : Fixe le temps au bout duquel la liaison TCP est rompue en cas d absence de requêtes modbus reçues du réseau IP. Paramètre «Numéro du port TCP» : Fixe le N du port TCP à utiliser ; le port par défaut est 502. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 95

19.3 Passerelle «RAW TCP» 19.3.1 Passerelle «RAW TCP client» Elle permet de raccorder un équipement se comportant en «maître» sur la liaison RS232 / RS485 Configuration : Cliquer le menu «passerelle» puis«transparent». Puis «raw client» Cocher «activer la passerelle». Paramètre «Taille du buffer de réception RS232/485» (valeur 1 à 1024) : Fixe la taille maximum, en octets, d un bloc transmis vers le réseau IP. Paramètre «Timeout fin de trame RS232/485» (valeur 10 à 500 ms) : Fixe délai de silence maximum après lequel le buffer de caractères reçus de la liaison RS232-RS485 est transmis vers le réseau IP. Paramètre «Timeout d'inactivité sur socket TCP» (valeur 0 à 5 mn) : Fixe le temps au bout duquel la liaison TCP est rompue en cas d absence de caractères reçus du réseau IP ou de la liaison série. Paramètre «Numéro du port TCP» : Fixe le N du port TCP à utiliser. Attention : Si 2 passerelles du même type sont actives sur les deux ports série, elles ne peuvent pas utiliser le même N de port TCP. Page 96 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Paramètre «Adresse IP du serveur Raw TCP» : Fixe l adresse IP à laquelle sont transmis les caractères reçus de la RS232 / RS485 (c est l adresse du serveur RAW).). 19.3.2 Passerelle «RAW TCP serveur» Elle permet de raccorder des équipements «esclaves» sur la liaison RS232-RS485. L équipement de la liaison série peut ainsi communiquer avec un PC Client RAW TCP. La passerelle «RAW serveur» peut en particulier être utilisée avec profit en association avec le logiciel Be IP d etic dans le cas où il faut faire communiquer par un réseau IP Configuration de la passerelle RAW serveur : Cliquer le menu «passerelle» puis«transparent». Puis «raw serveur» Cocher «activer la passerelle» puis régler les paramètres : Paramètre «Taille du buffer de réception RS232/485» (valeur 1 à 1024) : Fixe la taille maximum, en octets, d un bloc transmis vers le réseau IP. Paramètre «Timeout fin de trame RS232/485» (valeur 10 à 500 ms) : Fixe délai de silence maximum après lequel le buffer de caractères reçus de la liaison RS232-RS485 est transmis vers le réseau IP. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 97

Paramètre «Timeout d'inactivité sur socket TCP» (valeur 0 à 5 mn) : Fixe le temps au bout duquel la liaison TCP est rompue en cas d absence de caractères reçus du réseau IP ou de la liaison série. Paramètre «Numéro du port TCP» : Saisir le N du port TCP à utiliser. Attention : Si 2 passerelles du même type sont actives sur les deux ports série, elles ne peuvent pas utiliser le même N de port TCP 19.4 Passerelle de diffusion RAW UDP 19.4.1 Principe Cette passerelle permet de relier un ensemble d équipements série ou IP au travers d un réseau IP. Les destinataires sont désignés dans une liste établie par configuration. Cette solution est très simple de mise en œuvre : On désigne chaque correspondant par son adresse IP; les données RS232 sont envoyées sous forme de trames IP adressées individuellement à chaque correspondant enregistré. Page 98 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

19.4.2 Configuration MISE EN SERVICE Sélectionner le menu «passerelle» puis «Transparent» puis «Raw UDP» Cocher «activer» puis régler les paramètres ci-dessous : Paramètre «Taille du buffer de réception RS232/485» (valeur 1 à 1024) : Fixe la taille maximum, en octets, d un bloc transmis vers le réseau IP. Paramètre «Timeout fin de trame RS232/485» (valeur 10 ms à 5 sec ) : Fixe délai de silence maximum après lequel le buffer de caractères reçus de la liaison RS232-RS485 est transmis vers le réseau IP. Paramètre «Numéro du port UDP» : Fixe le N du port UDP à utiliser permettant de recevoir les données d'un ou plusieurs équipements sur le réseau. Attention : Si 2 passerelles du même type sont actives sur les deux ports série, elles ne peuvent pas utiliser le même N de port UDP. Paramètre Liste de «Destinations» : Transmettre automatiquement les caractères reçus de la RS232 / RS485 vers les destinations indiqués : pour un équipement maître (ou client), renseigner tous les équipements esclaves. Pour un équipement esclave (ou serveur), renseigner l'équipement maître. Un équipement est défini par une adresse IP et un port. Vérifier que le port correspond au champ "Numéro du port UDP" configuré dans la passerelle "Raw UDP" de l'équipement distant. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 99

19.5 Passerelle Unitelway La passerelle Unitelway permet de connecter un automate série maître unitelway à un réseau IP. Elle permet en particulier de réaliser la fonction de télémaintenance d automates Schneider Electric RS485 via un réseau IP. Page 100 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

20 Passerelle USB Attention : L interface USB ne peut pas être utilisé pour la connexion d un modem 3G USB (fonction de secours) et pour la fonction de passerelle USB. 20.1 Principe Le routeur RAS-E-1201 fournit une fonction de passerelle entre un réseau IP et une interface USB. Elle permet à un ou plusieurs équipements du réseau Ethernet d échanger des données avec un équipement à interface USB connecté au routeur RAS-E. Sur l interface USB, le routeur RAS-E se comporte en client PPP. L équipement connecté au routeur RAS-E par l interface USB se comporte en serveur PPP. Adresse IP de destination : Cas principal Un équipement connecté au réseau Ethernet et qui veut transmettre des données à l équipement connecté à l interface USB doit adresser les données à l adresse IP spécifique attribuée à la passerelle USB. (voir configuration). Adresse IP de destination : cas du protocole MODBUS : Si aucune adresse spécifique n est attribuée à la passerelle USB, la passerelle transfère uniquement vers l interface USB le trafic Modbus TCP dans le port 502 adressé à l adresse IP de l interface LAN du routeur. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 101

20.2 Configuration Sélectionner le menu «Configuration» puis «Passerelle USB». Case à cocher «Activer» : Cocher cette case. Case à cocher «Utiliser une Adresse IP spécifique» : Cocher cette case pour permettre l enregistrement d une adresse IP spécifique de la passerelle USB ; dans ce cas, les données transmises à cette adresse spécifique sont transmises sur l interface USB quelque soit le N du port de destination. Paramètre «Adresse IP spécifique» : Enregistrer l adresse IP spécifiquement attribuée à a passerelle USB. Case à cocher case Autoriser l'accès depuis l'interface WAN» : Il est nécessaire de sélectionner cette case si l équipement est connecté au réseau Ethernet de l Interface WAN. Si le PC est connecté par un VPN, par exemple, ou bien dans tout autre cas, il n est pas nécessaire de cocher cette case. Page 102 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

21 Fonctions avancées 21.1 Ajouter un certificat Ce menu permet de gérer les certificats X509 utilisés pour les connexions VPN. Chaque produit contient déjà un certificat délivré par ETIC. On peut vouloir cependant utilisé un autre certificat délivré par une autre autorité de certification. Ce certificat peut être introduit soit en format PKCS#12 avec mot de passe ou en en format PEM. Un seul certificat peut être actif à la fois. Attention : Pour pouvoir établir une connexion VPN, les certificats des deux routeurs doivent avoir été délivrés par la même autorité de certification. 21.2 Alarmes 21.2.1 Alarmes SNMP Le routeur dispose d un agent SNMP qui supporte la MIB-II standard et l envoi de TRAP sous certaines conditions. Activer : Si cette case est cochée l agent SNMP est lancé. Paramètre «Adresse IP de la plate-forme d administration» : Ce paramètre détermine vers quelle adresse IP les TRAP SNMP vont être envoyés. Paramètre «Valeur de la variable SysName et SysLocation» : Ces deux variables sont des champs standard et permettent d identifier d où provient le TRAP sur la plate-forme d administration SNMP. Paramètre «Envoi de TRAP sur événement» : Ces boites à cocher déterminent quel événement et quel TRAP est envoyé suite à cet événement. 21.2.2 Alarme STOR Ce menu détermine quel événement entraîne la fermeture de la sortie TOR. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 103

21.2.3 Alarme e-mail Lorsque l entrée TOR du routeur RAS-E (située sur le bornier à vis) change d état, une alarme peut être envoyée, sous forme d un e-mail (et donc d un SMS). Ce menu permet de paramétrer les conditions d émission de l alarme. Paramètre «Activer l'alarme par email» : Si cette case est cochée, une alarme par e-mail est émise lorsque l entrée TOR N 1 change d état. Paramètre «Source de l'alarme» : Ce paramètre permet de déterminer le ou les changements d état qui provoquent l alarme : passage à l état ON (fermé), ou à l état OFF ou bien les deux. Paramètre «Temps de maintien de l'état avant alarme» : Ce paramètre permet de fixer la durée minimale durant laquelle l état d alarme doit être maintenu pour provoquer l envoi de l e-mail d alarme (1 à 60 secondes). Paramètre «Destinataire de l'alarme» : Ce paramètre permet de choisir le destinataire de l alarme parmi la liste des utilisateurs autorisés (User list). Note : On peut souhaiter recevoir l alarme sous forme d un message SMS sur un téléphone portable. Ceci est possible en adressant l e-mail d alarme vers une adresse mail ouverte chez l opérateur GSM qui le route ensuite vers le portable associé. Les opérateurs GSM offrent cette fonction. On consultera notre service hotline pour la mise en œuvre. Page 104 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

21.3 Activer le portail web Par défaut, lorsque l on accède au service http (port 80) du routeur on arrive sur le serveur d administration. Il est possible de créer un portail web contenant une liste de machines que l on peut joindre d un simple clic. Ce portail web se substitue au serveur d administration qui reste accessible par le port 8080. La liste des machines permet ensuite de construire les filtres du pare-feu pour les connexions des utilisateurs distants et de constituer le «portail» qui peut être affiché comme page d accueil de l utilisateur distant. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 105

Pour activer le portail web : Sélectionner le menu «Configuration», puis «Systeme» puis «Liste des machines» Paramètre «Nom du site» : Le nom du site est le libellé qui s affiche en haut à droite de toutes les pages du serveur d administration et du portail. Paramètre «Afficher le portail web» : Cocher cette case pour afficher le portail à la place du serveur d administration. Page 106 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

Pour ajouter une machine à la liste, en vue de l afficher dans le portail web : Cliquer le bouton «Ajouter une machine» en bas de l écran. Enregistrer un libellé (le nom que vous souhaitez donner à la machine) et son adresse IP. Valider. La machine qui vient d être créée apparaît maintenant dans la liste des machines. Elle sera affichée dans la page «portail». Pour supprimer une machine de la liste, Assurez-vous au préalable que la machine à supprimer n intervient pas dans une règle de firewall ; si la machine intervient dans une règle de firewall, et que le filtre a en plus été affecté à un ou plusieurs utilisateurs, retirer d abord ce filtre aux utilisateurs en accédant à la fiche de chacun d entre eux, puis ensuite supprimer ou modifier le filtre ; alors seulement, il devient possible de supprimer une machine. Cliquer le bouton «Suppr.» Valider ; la machine ne fait plus partie de la liste des machines. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 107

21.4 Configuration du serveur DNS Pour la résolution des noms de domaines, le routeur RAS-E se comporte comme un serveur et un relais DNS. Cette fonction est toujours active. Fonction Relais DNS : A la sortie de configuration usine, il n y a pas d entrée dans la table DNS du routeur RAS- E. Il se comporte exclusivement comme un relais DNS. Toute requête DNS qui lui est adressée sur le réseau local sera ré-émise vers le serveur DNS du FAI. Cette fonction est pratique par exemple pour l envoi d email depuis une machine. Si les adresses des serveurs DNS du FAI sont obtenus automatiquement à la connexion Internet du routeur, elles ne sont pas connues des machines. Dans ce cas on désigne dans ces machines l adresse du routeur RAS-E comme serveur DNS. Fonction Serveur DNS : Pour toutes les noms DNS qui ont été définis, le routeur RAS-E se comporte comme serveur DNS. Pour définir un nom DNS, il suffit de définir une machine dans la liste des machines. Sélectionner le menu «Configuration», «Systeme» puis «Liste des machines» La liste des machines permet aussi de construire les filtres utilisateur du pare-feu pour les connexions des utilisateurs distants et de constituer le «portail» qui peut être affiché comme page d accueil de l utilisateur distant. Nom de domaine du site : Le nom de domaine est le suffixe DNS que l on peut saisir pour accéder à une machine. Par exemple, si l on désigne une machine par le libellé «assemblage» et que l on a saisi «grenoble» pour nom de domaine du site, on peut accéder aux services web de cette machine (en local ou à distance à travers un VPN) en tapant «assemblage.grenoble» dans le masque de saisie d adresse du navigateur html. Page 108 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

DIAGNOSTIC & MAINTENANCE 1 Diagnostic visuel de défaut de fonctionnement Après la mise sous tension, le voyant s éclaire en rouge durant 30 secondes environ pendant la phase d initialisation du routeur Après ce délai, le voyant passe au vert lorsque le produit est prêt à fonctionner. Si le voyant reste éclairé rouge après de délai, le routeur est probablement en panne ; contacter la hotline. 2 Menu Diagnostic Journal des connexions : Sélectionner la page le menu «Diagnostic» puis «Journal» Le journal permet de visualiser l enregistrement horodaté des connexions à distance et des connexions au serveur d administration. Il peut être imprimé. Contrôle de la connexion LAN (réseau local) : Sélectionner le menu «Diagnostic» puis «Etat réseau» puis «Interfaces». Le paragraphe «Etat du LAN» indique l adresse MAC, l adresse IP et le débit courant sur le réseau local. Contrôle de la Connexion WAN : Sélectionner le menu «Diagnostic» puis «Etat réseau» puis «Interfaces». Le paragraphe «Etat du WAN» indique l adresse IP, le débit courant ainsi l adresse de la passerelle par défaut et des DNS. Diagnostic des connexions VPN : Sélectionner le menu «Diagnostic» puis «Connexions VPN». «Etat réseau» puis Cette page donne la liste et les paramètres techniques des connexions VPN entrantes, sortantes et d utilisateurs qui sont établies. RAS - routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 109

DIAGNOSTIC & MAINTENANCE Diagnostic de défaut de fonctionnement d une passerelle série : Sélectionner le menu Diagnostic, puis Etat des passerelles. Cette page permet d afficher l état courant du paramétrage des passerelles, le nombre d octets et de trames échangées et le nombre de trames en erreur. Le lien visualiser permet d afficher en hexadécimal les trames reçues et transmises sur la liaison série. Etat des interrupteurs : Cette page affiche l état présent des micro switches situés sur la face supérieure du routeur. Ping : Cette page permet de commander l émission d une trame «ping» vers une machine du réseau raccordé au routeur. Syslog : A compléter. Page 110 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

DIAGNOSTIC & MAINTENANCE 3 Sauvegarde et chargement d un fichier de paramètres Une fois configuré, le paramétrage peut être sauvegardé sous forme d un fichier qui peut ensuite être restitué pour faciliter un redémarrage en cas de remplacement du produit par exemple. Pour sauvegarder un fichier de paramètres, sélectionner le menu «Maintenance» puis «Sauvegarde / restauration». Cliquer le bouton «Sauvegarder» puis «Enregistrer» quand la fenêtre apparaît. Désigner le nom du fichier et l emplacement de la sauvegarde. Le fichier a le suffixe.bin. Pour restaurer un fichier de paramètres sauvegardé sélectionner le menu «Maintenance» puis «Sauvegarde / restauration». Cliquer le bouton «Parcourir» puis sélectionner le fichier (XXX.bin) à restituer. Cliquer le bouton «Charger» puis confirmer pour redémarrer le produit. Attention : Un fichier de paramètres ne peut être restauré que dans un produit possédant la même version de firmware que celle avec laquelle le fichier de paramètres a été produit initialement. 4 Mise à jour du firmware Elle s effectue en local par la prise Ethernet ou bien, éventuellement, à distance. Etape 1 : Préparation des équipements Préparer un PC et un câble Ethernet. Télécharger le logiciel FTP serveur depuis notre site de maintenance (contacter notre service client). Etape 2 : Téléchargement du firmware Télécharger le firmware depuis notre serveur de maintenance vers le PC et décompresser. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 111

DIAGNOSTIC & MAINTENANCE Etape 3 : Préparation de la mise à jour : Vérifier que les adresses IP du PC et du produit à mettre à jour sont compatibles. Connecter le PC au produit par la prise Ethernet. Lancer le logiciel TFTP serveur (tftp32.exe) et sélectionner sur le disque du PC, le dossier où est enregistré le firmware. Dans le logiciel TFTP, cliquer le bouton "Show dir" pour visualiser les fichiers du firmware (jffs2root, rfsmini.tgz, u-boot.bin et uimage). Etape 4 : Mise à jour du firmware Lancer le navigateur html et entrer l adresse du produit à mettre à jour. La page d accueil du serveur html du produit ETIC s affiche. Sélectionner le menu «Maintenance» puis «Mise à jour». Dans le champ «adresse IP du serveur TFTP», entrer l adresse IP du PC ; elle est inscrite dans le masque "Server Interface" du logiciel TFTP. Cliquer sur «Enregistrer» puis sur «Mise à jour». Le chargement s effectue et la led RUN clignote. A la fin du chargement, le produit s initialise ; la led Service clignote en rouge. Vérifier que la mise à jour a été correctement chargée en contrôlant le N de version dans le menu «A propos». Etape 5 : Restaurer la configuration usine Sélectionner le menu «Maintenance» puis «Sauvegarde_Restauration». Cliquer sur le bouton «Restaurer la configuration Usine». Attention : Les paramètres enregistrés antérieurement sont perdus et l adresse par défaut 192.168.0?128 est restituée. Page 112 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

QUELQUES USAGES PARTICULIERS On décrit ci-dessous quelques usages particuliers du routeurs RAS-E : La connexion d utilisateurs distants au moyen du logiciel M2Me-Secure, La connexion d utilisateurs distants au moyen du service M2Me_Connect, La visualisation de l entrée TOR du routeur et la télécommande de la sortie. 1 Connexion au moyen du logiciel M2Me_Secure On décrit ci-dessous la procédure que doit suivre l utilisateur d un PC connecté à un Intranet ou un réseau d entreprise pour se connecter à une machine protégée par un routeur RAS-E. Ouvrir le logiciel M2Me_Secure et entrer l identificateur et le mot de passe d utilisateur (admin et admin à la livraison). Sélectionner le site et cliquer le bouton de connexion dont la légende est «Accéder au site par Internet». La fenêtre «Connexion en cours» s affiche ; puis, quelques secondes après, le message «La connexion avec le site est établie». Une figurine s affiche à côté du nom de site pour indiquer que le PC est connecté. Le PC est téléporté sur le réseau distant. Une adresse IP de ce réseau lui a automatiquement été attribué. Note : Pour saisir l adresse IP ou bien le nom de domaine ou le nom de domaine DynDNS de destination, cliquer droit sur la ligne du site, puis sélectionner l onglet Connexion, cocher la case «Ce site est accessible par Internet» et saisir l adresse de destination ou le nom de domaine dans le champ «nom d hote ou adresse IP». RAS - routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 113

QUELQUES USAGES PARTICULIERS 2 Connexion par Internet au moyen du service M2Me_Connect Le service M2Me_Connect est un service de médiation dont la mise en œuvre est décrite dans le présent manuel. On décrit la procédure que doit accomplir l utilisateur d un PC isolé ou connecté à un réseau IP pour se connecter à distance au réseau de machines en utilisant le service M2Me_Connect. Ouvrir le logiciel M2Me_Secure et entrer l identificateur et le mot de passe d utilisateur. S il n a pas été prévu que l authentification du PC sur le service M2Me_Connect s effectue automatiquement dés l ouverture du logiciel, sélectionner l icône «Menu» puis «Authentifier sur M2Me». Patienter quelques secondes jusqu à ce que le message «Votre PC est authentifié sur le service M2Me» s affiche dans la barre de contrôle en bas de la fenêtre M2Me. La liste des site s affiche ; ceux qui sont actuellement connectés sur le service M2Me_Connect sont précédés d un voyant vert ou d une caractère «e» de couleur verte. Sélectionner le site et cliquer le bouton «Accéder au site par Internet». La fenêtre «Connexion en cours» s affiche ; puis, quelques secondes après, le message «La connexion avec le site est établie». Une figurine s affiche à côté du nom site pour indiquer que le PC est connecté. Page 114 Notice d utilisation ref 9016609-03 RAS routeur - firewall ref. RAS-E

QUELQUES USAGES PARTICULIERS Le PC est téléporté sur le réseau distant. Une adresse IP de ce réseau lui a automatiquement été attribué. 3 Visualisation des entrées et télécommande de la sortie Le menu «Diagnostic» puis «Contrôle des E/S» permet d afficher l état de l entrée TOR et de piloter la sortie. RAS-routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 115

ANNEXE 1 Arborescence du serveur d administration 1/ Menu Configuration Utilisateurs Interfaces LAN Interface WAN Réseau Sécurité Alarmes Enregistrer la liste d utilisateurs distants autorisés et leur attribuer des droits (voir pare-feu). Enregistrer l @ IP attribuée au routeur RAS-E. Enregistrer l @IP attribuée à l utilisateur distant. Définir le fonctionnement des ports Ethernet Paramétrer le serveur DHCP Enregistrer les paramètres de l Interface WAN Enregistrer les paramètres DynDNS Paramétrer les connexions VPN Enregistrer les routes statiques Paramétrer les règles de redirection de port Régler le firewall Enregistrer un certificat X509 Protéger et limiter l accès au serveur d administration Déterminer les traps SNMP à envoyer Choisir l événement déclenchant la sortie TOR Déterminer les conditions de l envoi d email, le destinataire, le contenu Passerelle série Configuration des passerelles modbus Configuration de la passerelle unitelway Configuration des passerelles RAW TCP/UDP, Telnet, multicast Système Mettre à jour la date et l heure Enregistrer les paramètres de l administration SMP Enregistrer la liste des protocoles et ports TCP/UDP Enregistrer la liste des machines du réseau local (@IP) à afficher dans le portail web RAS - routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 117

ANNEXE 1 Arborescence du serveur d administration 2/ Menu Diagnostic Journal Etat du réseau Passerelles Outils Matériel Environnement Visualiser la liste horodatée des événements : connexions inter-sites, utilisateurs qui se sont connectés à distance, Afficher l état actuel du produit : @ MAC, @IP, ADSL, VPN Afficher la table de routage interne Afficher l état du service M2Me_Connect Etat et diagnostic des passerelles série Transmettre des Pings Visualiser l état de l ETOR, commander la STOR Afficher l état actuel des DIP switches Visualiser le niveau des alimentations électriques Visualiser le niveau des alimentations électriques 3/ Menu Maintenance Mise à jour Charger un nouveau logiciel dans le produit. Sauvegarde Sauvegarder la configuration du produit dans un fichier du / Restauration PC, ou au contraire, la charger dans le produit. Redémarrer Initialiser le routeur RAS-E lorsque les modifications du paramétrage rendent cette opération nécessaire. 4/ Menu A propos Afficher les informations d identification du produit. Page 118 Notice d utilisation ref 9016609-03 RAS - Routeur-firewall ref. RAS-E

ANNEXE 2 Créer une connexion VPN de type PPPT pour Internet sous XP Une connexion PPPT permet de connecter un PC isolé ou en réseau au routeur RAS-E à travers l internet ou un Intranet. Pour créer une connexion PPPT, Cliquer Démarrer, puis Connexions, puis afficher toutes les connexions. Sélectionner «Créer une nouvelle connexion», puis «Connexion au réseau d entreprise» puis «Connexion réseau privé virtuel», puis «ne pas établir la connexion initiale. Dans le champ Nom d hôte ou adresse IP, saisir le nom de domaine DynDNS (par exemple, etic_ras.dyndns.org Donner un nom à la connexion (par exemple, connexion pptp), puis cliquer «Terminer». La fenêtre de la connexion apparaît ; cliquer «Propriétés» puis sélectionner l onglet «Gestion de réseau». Dans le champ «Type de réseau VPN, faire le choix «PPTP» puis cliquer OK pour sauvegarder. RAS - Routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 119

ANNEXE 3 Modifier la connexion IP du PC Pour effectuer la première configuration du routeur, il faut connecter la prise Ethernet du PC à celle du routeur et attribuer au PC une adresse IP compatible avec celle qui est programmée dans le routeur à la livraison. Pour modifier l adresse IP du PC, Ouvrir le panneau de configuration Ouvrir le dossier connexion réseau et accès à distance Cliquer droit sur la connexion au réseau local existante puis «propriétés» Sélectionner Protocole internet (TCP/IP) Cliquer sur Propriétés RAS - Routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 121

ANNEXE 3 Modifier la connexion IP du PC Cliquer sur «utiliser l adresse IP suivante». Attribuer au PC une adresse IP et un masque de réseau compatible de l adresse IP affectée au serveur d administration du routeur. Note : L adresse «Usine» du routeur est 192.168.0.128 ; pour la première configuration, on pourra affecter au PC l adresse IP 192.168.0.127. Page 122 Notice d utilisation ref 9016609-03 RAS - Routeur-firewall ref. RAS-E

ANNEXE 4 La technique des VPN 1 La fonction des VPN VPN est l acronyme de «virtual private network» ; réseau privé virtuel en français. Le VPN est une technique qui permet d interconnecter deux réseaux IP à travers l internet en offrant une sécurité maximale. Un VPN est établi entre deux routeurs des réseaux à relier. Une fois le VPN établi, chaque équipement du premier réseau peut communiquer avec chaque équipement de l autre comme si les deux réseaux étaient virtuellement connectés l un à l autre, et avec la sécurité maximale. L interconnexion de sites à travers Internet s effectue au moyen de tunnels VPN (virtual private network) sécurisés. Lorsqu un VPN est établi entre deux routeurs RAS-E, ces deux routeurs se trouvent virtuellement reliés par un câble ethernet. La technique du VPN permet aussi de relier le PC isolé d un utilisateur distant au routeur d un réseau de machines. Le VPN permet alors d identifier l utilisateur au moyen de codes (identificateurs et mot de passe et éventuellement d un certificat. RAS - Routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 123

ANNEXE 4 La technique des VPN 2 Fonctions assurées par un VPN Un VPN réalise les fonctions suivantes : Authentification réciproque : Chaque routeur est titulaire d un code appelé clé ou bien certificat ; à la connexion, l échange des clés permet à chaque routeur de s assurer de l identité de son homologue. Intégrité des données Le VPN garantit que toutes les données reçues sont conformes à ce que l homologue à transmis. Discrétion Les clés permettent également de crypter les donnés pour assurer la discrétion de la transmission ; un observateur sur l internet ne peut les décoder s il ne possède pas la clé. 3 Les clés Chaque extrémité enregistre une clé qui permettra à la fois le cryptage, le décryptage, la vérification de l intégrité et l authentification des parties. Deux type de clé peuvent être utilisées : La clés secrète : Il s agit d un code enregistré dans chaque routeur ; les deux extrémités enregistrent la même clé. L authentification, le cryptage, le décryptage, ainsi que le contrôle de l intégrité sont réalisés au moyen de cette clé ; c est donc son caractère secret qui garantit la sécurité. Le certificat : Il s agit d un fichier tenant lieu de carte d identité ; il est délivrée par une autorité de certification. Il est unique ; Il contient une suite d informations qui identifient son détenteur ainsi que l autorité qui l a délivré ; il contient également un code appelé clé publique et un autre appelé clé privée. La sécurité repose sur le temps déraisonnable qui devrait être passé pour déduire la clé privée associée à la clé publique. ETIC Télécom est une autorité de certification reconnue et habilitée à fournir des certificats. Chaque routeur est équipé d un certificat au format Page 124 Notice d utilisation ref 9016609-03 RAS - Routeur-firewall ref. RAS-E

ANNEXE 4 La technique des VPN défini par la norme X509. Pour pouvoir établir une liaison, chaque extrémité doit connaître la clé publique de l autre extrémité. 3.1 Fonctionnement Authentification A la connexion, les routeurs établissent entre eux un dialogue visant à s authentifier mutuellement. Si l on a choisi un système à clé partagée, les clé sont échangées après avoir été cryptées. Si on a choisi l utilisation de certificats, chaque routeur transmet à l autre un message chiffré au moyen de sa propre clé privée ; le destinataire le décrypte au moyen de la clé publique de l émetteur ; il en a connaissance parce qu elle a été déclarée lors du paramétrage. Clé privée de l'émetteur Clé publique de l'émetteur Message Chiffrement Internet déchiffrement d'authentification Données en clair Transmission Une fois l authentification effectuée, le tunnel est constitué entre les deux routeurs ; les adresses IP sources et destination sont celles des deux extrémités du VPN. Elle ne sont pas cryptées. Celui qui prend l initiative de la connexion est appelé client VPN; le serveur VPN est celui qui accepte la connexion. Dans ce flux de trames IP entre les deux routeurs est transporté le trafic utile : Les trames IP provenant des équipements du premier réseau vers des équipements du second. Ce trafic est crypté (si on choisit cette option). RAS - Routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 125

ANNEXE 4 La technique des VPN Cryptage des données Dans le cas où l on a choisi le système à clé partagée, le cryptage et le décryptage s effectuent avec la même clé. Dans le cas où l on a choisi le système de certificats, le cryptage et le décryptage ne sont pas symétriques : les données sont cryptées au moyen de la clé publique du destinataire qui les décrypte au moyen de sa clé privée. Entretien et coupure du VPN Régulièrement, en l absence de trafic, chaque routeur envoie à son homologue une trame de vie permettant de s assurer qu il est actif ; en l absence de réponse, le tunnel VPN est rompu à l échéance d une temporisation. 4 Types de VPN supportés pour l interconnexion de sites Le routeur RAS-E supporte deux types de VPN pour les interconnexions de sites: IPSec et TLS/SSL. Pour chacun de ces deux types, le routeur RAS-E peut être client VPN ou serveur VPN. Toutes les connexions doivent être du même type (SSL ou IPSec) ; 16 VPN simultanés peuvent être établis. IPSec est le protocole le plus couramment utilisé pour établir des VPN. On choisira donc d utiliser IPSec si c est la solution qui est imposée ; par exemple, dans le cas où un routeur RAS-E doit communiquer avec un routeur d une autre marque qui ne supporte que le protocole IPSEC. TLS/SSL est le protocole VPN offre plus de souplesse tout en garantissant un niveau de sécurité équivalent à IPSec. On préférera TLS à chaque fois qu il s agit d une connexion entre deux routeurs RAS-E. Page 126 Notice d utilisation ref 9016609-03 RAS - Routeur-firewall ref. RAS-E

ANNEXE 5 Informations nécessaires au paramétrage de la connexion au service M2Me_Connect PARTIE 1 : PARAMETRES DU VPN Protocole de transport VPN : TCP ou UDP TCP et le port 443 sont la seule solution si un proxy filtre le trafic vers l Intranet ou l Internet. N de port du VPN UDP : 1194 5000 50000 à 51000 TCP : Idem + 80 et 443 PARTIE 2 : PARAMETRES IP DE L INTERFACE WAN DU ROUTEUR RAS-E Ces informations ne sont pas nécessaires si un serveur DHCP du réseau d entreprise attribue automatiquement l adresse IP à l interface WAN du routeur RAS-E Adr IP attribuée au routeur RAS-E sur le réseau d entreprise Adr IP du routeur par défaut du réseau d entreprise (default gateway) Netmask du réseau d entreprise PARTIE 3 : PARAMETRES DU SERVEUR PROXY Ces informations sont nécessaires uniquement si un serveur PROXY filtre l accès à l Internet Adr. IP du serveur proxy Type du serveur proxy : HTTP ou SOCKS5 Login pour l accès au serveur proxy Mot de passe pour l accès au serveur Proxy RAS - Routeur-firewall ref. RAS-E Notice d utilisation ref. 9016609-03 Page 127

ETIC TELECOM 13, Chemin du Vieux Chêne 38240 Meylan France Tél : 04 76 04 20 00 Fax : 04 76 04 20 01 E-mail : contact@etictelecom.com Web : www.etictelecom.com