Pour exécuter IPSEC sur un PC hébergeant le logiciel de configuration Control Expert ou un client OPC UA (par exemple, SCADA), vous devez ajouter une configuration réseau au pare-feu de l'hôte. Pour chaque règle IPSEC configurée dans les pages Web, un script associé (nommé IPSecWindowsConf.bat) peut être téléchargé à l'aide de l'icône en forme de roue dentée. Exécutez ce script pour définir le pare-feu de l'hôte dans la configuration appropriée.

  • IKE/IPSEC en mode transport pour les flux de données locaux du BMENUA0100.

  • IKE/IPSEC en mode tunnel pour les flux de données transférés à l'embase Ethernet.

  • Règles de passage pour HTTPS, OPCUA sécurisé et d'autres protocoles pour lesquels l'option Utilisation IPSEC est désactivée.

Les exemples suivants présentent les scripts de configuration du pare-feu Windows avec ou sans la confidentialité IPSEC.

Dans chaque exemple de script, vous devez fournir les valeurs réelles pour les variables suivantes :

  • endpoint1 : valeur de l'adresse IP distante dans la configuration IPSEC.

  • endpoint2 : adresse IP du port de contrôle du BMENUA0100.

  • Auth1psk : réglage PSK dans la configuration IPSEC.

Script de pare-feu Windows avec confidentialité

NOTE : Si la confidentialité est activée dans la configuration IPSEC, qmsecmethods=esp:sha256-aes128

netsh advfirewall reset

netsh advfirewall set global mainmode mmkeylifetime 2879min,0sess

netsh advfirewall set global mainmode mmsecmethods dhgroup14:aes128-sha256,dhgroup2:aes128-sha256

netsh advfirewall consec delete rule name="IPSECtunnel"

netsh advfirewall consec delete rule name="IPSECtransport"

netsh advfirewall consec delete rule name="IPSECpassthroughOPCUA"

netsh advfirewall consec delete rule name="IPSECpassthroughHTTPS"

netsh advfirewall consec add rule name="IPSECtransport" endpoint1=192.169.1.100 endpoint2=192.169.1.50 action=requireinrequireout description="IPSECtransport" mode=transport enable=yes profile=public type=static protocol=any auth1=computerpsk auth1psk= b936789cb3626d83aaaf1e3ddb84984b qmpfs=none qmsecmethods=esp:sha256-aes128+1440min

netsh advfirewall consec add rule name="IPSECpassthroughOPCUA" endpoint1=192.169.1.100 endpoint2=192.169.1.50 action=noauthentication description="IPSECpassthroughOPCUA" mode=transport enable=yes profile=public type=static protocol=tcp port2=4840

netsh advfirewall consec add rule name="IPSECpassthroughHTTPS" endpoint1=192.169.1.100 endpoint2=192.169.1.50 action=noauthentication description="IPSECpassthroughHTTPS" mode=transport enable=yes profile=public type=static protocol=tcp port2=443

netsh advfirewall consec add rule name="IPSECtunnel" endpoint1=192.169.0.0/16 endpoint2=192.168.0.0/16 localtunnelendpoint=192.169.1.100 remotetunnelendpoint=192.169.1.50 action=requireinrequireout description="IPSECtunnel" mode=tunnel enable=yes profile=public type=static protocol=any auth1=computerpsk auth1psk= b936789cb3626d83aaaf1e3ddb84984b qmpfs=none qmsecmethods=esp:sha256-aes128+1440min

netsh advfirewall consec show rule name=all verbose

pause

Script de pare-feu Windows sans confidentialité

NOTE : Si la confidentialité est activée dans la configuration IPSEC, qmsecmethods=esp:sha256-None

netsh advfirewall reset

netsh advfirewall set global mainmode mmkeylifetime 2879min,0sess

netsh advfirewall set global mainmode mmsecmethods dhgroup14:aes128-sha256,dhgroup2:aes128-sha256

netsh advfirewall consec delete rule name="IPSECtunnel"

netsh advfirewall consec delete rule name="IPSECtransport"

netsh advfirewall consec delete rule name="IPSECpassthroughOPCUA"

netsh advfirewall consec delete rule name="IPSECpassthroughHTTPS"

netsh advfirewall consec add rule name="IPSECtransport" endpoint1=192.169.1.100 endpoint2=192.169.1.50 action=requireinrequireout description="IPSECtransport" mode=transport enable=yes profile=public type=static protocol=any auth1=computerpsk auth1psk= b936789cb3626d83aaaf1e3ddb84984b qmpfs=none qmsecmethods=esp:sha256-None+1440min

netsh advfirewall consec add rule name="IPSECpassthroughOPCUA" endpoint1=192.169.1.100 endpoint2=192.169.1.50 action=noauthentication description="IPSECpassthroughOPCUA" mode=transport enable=yes profile=public type=static protocol=tcp port2=4840

netsh advfirewall consec add rule name="IPSECpassthroughHTTPS" endpoint1=192.169.1.100 endpoint2=192.169.1.50 action=noauthentication description="IPSECpassthroughHTTPS" mode=transport enable=yes profile=public type=static protocol=tcp port2=443

netsh advfirewall consec add rule name="IPSECtunnel" endpoint1=192.169.0.0/16 endpoint2=192.168.0.0/16 localtunnelendpoint=192.169.1.100 remotetunnelendpoint=192.169.1.50 action=requireinrequireout description="IPSECtunnel" mode=tunnel enable=yes profile=public type=static protocol=any auth1=computerpsk auth1psk= b936789cb3626d83aaaf1e3ddb84984b qmpfs=none qmsecmethods=esp:sha256-None+1440min

netsh advfirewall consec show rule name=all verbose

pause