Pour exécuter IPSEC sur un PC hébergeant le logiciel de configuration Control Expert ou un client OPC UA (par exemple, SCADA), vous devez ajouter une configuration réseau au pare-feu de l'hôte. Pour chaque règle IPSEC configurée dans les pages Web, un script associé (nommé IPSecWindowsConf.bat) peut être téléchargé à l'aide de l'icône en forme de roue dentée. Exécutez ce script pour définir le pare-feu de l'hôte dans la configuration appropriée.
IKE/IPSEC en mode transport pour les flux de données locaux du BMENUA0100.
IKE/IPSEC en mode tunnel pour les flux de données transférés à l'embase Ethernet.
Règles de passage pour HTTPS, OPCUA sécurisé et d'autres protocoles pour lesquels l'option Utilisation IPSEC est désactivée.
Les exemples suivants présentent les scripts de configuration du pare-feu Windows avec ou sans la confidentialité IPSEC.
Dans chaque exemple de script, vous devez fournir les valeurs réelles pour les variables suivantes :
endpoint1: valeur de l'adresse IP distante dans la configuration IPSEC.endpoint2: adresse IP du port de contrôle du BMENUA0100.Auth1psk: réglage PSK dans la configuration IPSEC.
Script de pare-feu Windows avec confidentialité
qmsecmethods=esp:sha256-aes128netsh advfirewall reset
netsh
advfirewall set global mainmode mmkeylifetime 2879min,0sess
netsh advfirewall set global mainmode
mmsecmethods dhgroup14:aes128-sha256,dhgroup2:aes128-sha256
netsh advfirewall consec delete rule
name="IPSECtunnel"
netsh advfirewall
consec delete rule name="IPSECtransport"
netsh advfirewall consec delete rule name="IPSECpassthroughOPCUA"
netsh advfirewall consec delete rule
name="IPSECpassthroughHTTPS"
netsh advfirewall consec add rule name="IPSECtransport" endpoint1=192.169.1.100 endpoint2=192.169.1.50 action=requireinrequireout description="IPSECtransport"
mode=transport enable=yes profile=public type=static protocol=any
auth1=computerpsk auth1psk= b936789cb3626d83aaaf1e3ddb84984b qmpfs=none qmsecmethods=esp:sha256-aes128+1440min
netsh advfirewall consec add rule name="IPSECpassthroughOPCUA" endpoint1=192.169.1.100 endpoint2=192.169.1.50 action=noauthentication
description="IPSECpassthroughOPCUA" mode=transport enable=yes profile=public
type=static protocol=tcp port2=4840
netsh advfirewall consec add rule name="IPSECpassthroughHTTPS" endpoint1=192.169.1.100 endpoint2=192.169.1.50 action=noauthentication
description="IPSECpassthroughHTTPS" mode=transport enable=yes profile=public
type=static protocol=tcp port2=443
netsh advfirewall consec add rule name="IPSECtunnel" endpoint1=192.169.0.0/16 endpoint2=192.168.0.0/16 localtunnelendpoint=192.169.1.100
remotetunnelendpoint=192.169.1.50 action=requireinrequireout description="IPSECtunnel"
mode=tunnel enable=yes profile=public type=static protocol=any auth1=computerpsk auth1psk= b936789cb3626d83aaaf1e3ddb84984b qmpfs=none qmsecmethods=esp:sha256-aes128+1440min
netsh advfirewall consec show rule
name=all verbose
pause
Script de pare-feu Windows sans confidentialité
qmsecmethods=esp:sha256-Nonenetsh advfirewall reset
netsh
advfirewall set global mainmode mmkeylifetime 2879min,0sess
netsh advfirewall set global mainmode
mmsecmethods dhgroup14:aes128-sha256,dhgroup2:aes128-sha256
netsh advfirewall consec delete rule
name="IPSECtunnel"
netsh advfirewall
consec delete rule name="IPSECtransport"
netsh advfirewall consec delete rule name="IPSECpassthroughOPCUA"
netsh advfirewall consec delete rule
name="IPSECpassthroughHTTPS"
netsh advfirewall consec add rule name="IPSECtransport" endpoint1=192.169.1.100 endpoint2=192.169.1.50 action=requireinrequireout description="IPSECtransport"
mode=transport enable=yes profile=public type=static protocol=any
auth1=computerpsk auth1psk= b936789cb3626d83aaaf1e3ddb84984b qmpfs=none qmsecmethods=esp:sha256-None+1440min
netsh advfirewall consec add rule name="IPSECpassthroughOPCUA" endpoint1=192.169.1.100 endpoint2=192.169.1.50 action=noauthentication
description="IPSECpassthroughOPCUA" mode=transport enable=yes profile=public
type=static protocol=tcp port2=4840
netsh advfirewall consec add rule name="IPSECpassthroughHTTPS" endpoint1=192.169.1.100 endpoint2=192.169.1.50 action=noauthentication
description="IPSECpassthroughHTTPS" mode=transport enable=yes profile=public
type=static protocol=tcp port2=443
netsh advfirewall consec add rule name="IPSECtunnel" endpoint1=192.169.0.0/16 endpoint2=192.168.0.0/16 localtunnelendpoint=192.169.1.100
remotetunnelendpoint=192.169.1.50 action=requireinrequireout description="IPSECtunnel"
mode=tunnel enable=yes profile=public type=static protocol=any auth1=computerpsk auth1psk= b936789cb3626d83aaaf1e3ddb84984b qmpfs=none qmsecmethods=esp:sha256-None+1440min
netsh advfirewall consec show rule
name=all verbose
pause