IPL-G12 - Etic Telecom

IPL-G12Routeur 3G-GPRS-EDGE-GSM data_________________NOTICE D'UTILISATIONDocument référence : 9016509-02_________________

Le routeur IPL-G12 est fabriquée parETIC TELECOM13 Chemin du vieux chêne38240 MEYLANFRANCEEn cas de difficulté dans la mise en oeuvre du produit, vous pouvez vousadresser à votre revendeur, ou bien contacter notre service support :TEL : + (33) (0)4-76-04-20-05FAX : + (33) (0)4-76-04-20-01E-mail : hotline@etictelecom.comweb : www.etictelecom.comPage 2 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

PRESENTATIONPRESENTATION1 DECLARATION DE CONFORMITE ............................................................................ 72 IDENTIFICATION DES PRODUITS............................................................................. 83 FICHE TECHNIQUE..................................................................................................... 94 PRESENTATION........................................................................................................ 12INSTALLATION1 DESCRIPTION DU PRODUIT.................................................................................... 171.1 Voyants ......................................................................................................... 171.2 Connecteurs ................................................................................................. 191.3 DIP switches ................................................................................................. 202 VENTILATION............................................................................................................ 203 ALIMENTATION ........................................................................................................ 204 MISE A LA TERRE .................................................................................................... 215 CONNEXION D’EQUIPEMENTS AU PORT SERIE .................................................. 216 RACCORDEMENT DES ENTREES SORTIES ......................................................... 226.1 Contrôle préalable........................................................................................ 227 ANTENNE .................................................................................................................. 238 INSTALLATION DE LA CARTE SIM......................................................................... 23MISE EN SERVICE1 ETAPES DE LA CONFIGURATION DU ROUTEUR................................................. 252 CONNEXION DU PC EN VUE DE LA CONFIGURATION........................................ 252.1 Introduction .................................................................................................. 252.2 Première configuration................................................................................ 262.3 Modifications ultérieures de la configuration ........................................... 27../..Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 3

PRESENTATION…MISE EN SERVICE3 REDEMARRAGE APRES MODIFICATION DE CERTAINS PARAMETRES........... 284 RESTITUTION DE L’ADRESSE IP USINE................................................................ 295 RETOUR A LA CONFIGURATION USINE................................................................ 296 PROTECTION DE L’ACCES AU SERVEUR D’ADMINISTRATION......................... 307 RETROUVER L’ACCES LIBRE AU SERVEUR D’ADMINISTRATION .................... 308 CONFIGURER LES ADRESSES IP SUR L’INTERFACE LOCALE......................... 309 PARAMETRAGE D’UN ABONNEMENT AU SERVICE 3G OU GPRS-EDGE......... 3210 PARAMETRAGE D’UN ABONNEMENT AU SERVICE GSM-DATA ....................... 3311 TELECOMMANDE DE CONNEXION AU SERVICE 3G OU GPRS-EDGE .............. 3312 PUBLIER L’ADRESSE IP DYNAMIQUE DU ROUTEUR SUR L’INTERNET ........... 3512.1 Principe ......................................................................................................... 3512.2 Paramétrage ................................................................................................. 3713 INTERCONNEXION DE ROUTEURS AU MOYEN DE VPNS (3G GPRS-EDGE).... 3813.1 Principes ....................................................................................................... 3813.2 VPN IPSec ..................................................................................................... 3913.3 VPN TLS ........................................................................................................ 4514 INTERCONNEXION DE ROUTEURS PAR LE SERVICE GSM DATA A 9600 B/S. 4914.1 Configurer une connexion PPP entrante.................................................. 5014.2 Configurer une connexion PPP sortante................................................... 5214.3 Configurer une connexion PPP sortante et entrante................................ 5315 MISE EN ŒUVRE DE FONCTIONS DE ROUTAGE ................................................. 5615.1 Route statique .............................................................................................. 56../..Page 4 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

PRESENTATION… MISE EN SERVICE16 SUBSTITUTION D’ADRESSES (NAT, REDIRECTION DE PORT, NAT AVANCE) 5916.1 Translation d’adresse (NAT) ....................................................................... 5916.2 Redirection de port ...................................................................................... 5916.3 Substitution généralisée d’adresses IP (NAT avancé) ............................. 6117 CONNEXION DES UTILISATEURS DISTANTS (3G-GPRS-EDGE) ........................ 6517.1 Principes ....................................................................................................... 6517.2 Paramétrage d’une connexion distante de type TLS................................ 6617.3 Paramétrage d’une connexion distante de type PPTP............................. 6818 CONNEXION D’UTILISATEURS DISTANTS PAR LE SERVICE M2ME_CONNECT6918.1 Présentation ................................................................................................. 6918.2 Paramétrage d’une connexion au service M2Me_Connect...................... 7019 CONNEXION D’UTILISATEURS DISTANTS (SERVICE GSM DATA)..................... 7119.1 Principe ......................................................................................................... 7119.2 Configuration d’un connexion utilisant le modem interne ...................... 7219.3 Configuration d’une connexion utilisant le modem externe ................... 7220 PARAMETRAGE DE LA LISTE D’UTILISATEURS.................................................. 7320.1 Présentation ................................................................................................. 7320.2 Définir des utilisateurs ................................................................................ 7421 FIREWALL ................................................................................................................. 7521.1 Présentation ................................................................................................. 7521.2 Filtres d’utilisateurs ..................................................................................... 76Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 5

PRESENTATION…MISE EN SERVICE22 CONFIGURATION DES PASSERELLES SERIE...................................................... 8122.1 Présentation des types de passerelles...................................................... 8122.2 Passerelle Modbus....................................................................................... 8322.3 Passerelle « TCP RAW ».............................................................................. 8922.4 Passerelle “Multicast” ................................................................................. 9122.5 Passerelle Unitelway.................................................................................... 9323 FONCTIONS AVANCEES ......................................................................................... 9423.1 Ajouter un certificat ..................................................................................... 9423.2 Alarmes SNMP.............................................................................................. 9423.3 Alarme sur changement d’état des entrées TOR...................................... 9523.4 Activer le portail web ................................................................................... 9623.5 Configurer le serveur DNS .......................................................................... 98MAINTENANCE1 DIAGNOSTIC VISUEL DE DEFAUT DE FONCTIONNEMENT .............................. 1012 SAUVEGARDE ET CHARGEMENT D’UN FICHIER DE PARAMETRES .............. 1013 MISE A JOUR DU FIRMWARE ............................................................................... 1024 MENU DIAGNOSTIC ............................................................................................... 103QUELQUES UTILISATIONS PARTICULIERES1 CONNEXION PAR INTERNET AU MOYEN DU SERVICE M2ME_CONNECT...... 1052 CONNEXION VPN AU MOYEN DU LOGICIEL M2ME_SECURE .......................... 1063 VISUALISATION DES ENTREES ET TELECOMMANDE DE LA SORTIE............ 107Annexe 1 : Arborescence du serveur d’administrationAnnexe 2 : Créer une connexion sécurisée PPTP sous Windows XPAnnexe 3 : Modifier une connexion ethernet TCP/IP sous Windows XPAnnexe 4 : Aperçu sur la technique des VPNsPage 6 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

PRESENTATION1 Déclaration de conformitéProduit :Identification : Routeur 3G-GPRS-EDGERéférences :IPL-G12B : Routeur pour les services GPRS-EDGE et GSM dataIPL-G12B-3G : Routeur pour les services UMTS 3G & GPRS-EDGEAu nom de la société ETIC Telecom, Gilles Benas agissant en tant quedirecteur de la qualité, déclare que le produit ci-dessus est conforme à ladirective R&TTE Directive (1999/5/EC).Le routeur est en particulier conforme aux normes suivantes :Compatibilité : EN 55022EN 50024EN 300386-2FCC Part 15Sécurité : EN 60950UL (IEC950)Date : 12 Septembre 2010Gilles BenasResponsable de la qualitéRouteur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 7

PRESENTATION2 Identification des produitsLa présente notice décrit la mise en service et l’utilisation des produitssuivants :IPL-G12BIPL-G12B-3GUMTS HSDPA (3G) - •GSM (GPRS-EDGE) • •GSM data 9600 b/s • -RJ45 Ethernet 10 Mb/s 1 1RS232-RS85 1 1IP routeur • •NAT – DNAT – Port forwarding • •SNMP • •Dyn DNS • •DHCP client or server (LAN interface) • •Firewall SPI • •VPN PPTP, IPSEC, TLS • •Remote access server • •Entrées digitales d’alarmes email 3 3Passerele série :RAW UDP client & serveur multi-unicastRaw TCP client & serveurModbus client and serveurTelnet serveurunitelway• •Html Configuration • •Option IO Viewer • •Dans la suite du texte, quand on écrit « IPL-G12 », on se réfère aux deuxréférences ci-dessus.Page 8 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

PRESENTATION3 Fiche techniqueCaractéristiques généralesDimensions 128 x 38 x 107 mm (h, l, p)EMIEN50082-2Sécurité électrique EN 60950- UL 1950ESD : EN61000-4-2 : Décharge 6 KVCEMChamp HF : EN61000-4-3 : 10V/m < 2 GHzTransitoires : EN61000-4-4Choc : EN61000-4-5 : 4KV line / earthSubstancesdangereuses2002/95/CE (RoHS)Tension d’alimentation 9 to 30 VDC - 170 mA at 24 VDCT° d’utilisation -20°C / + 60°C Humidité 5 à 95 %3G GPRS-EDGE GSM dataFréquences850/900/1800/1900 / 2100 MHzEGSM850 EGSM900 : class 4 (2 W)Puissance HFGSM1800 GSM1900 : class 1 ((1 W)AntenneConnecteur FMEUMTS *HSDPA 384 kbps downlink / 384 kbps uplinkEDGE-GPRS **Débit max 85,6 Kb/s downlinkDébit max 21,4 Kb/s uplinkMultislot class 10GPRS ** Multislot class 12GSM data ***9600 b/s liaison PPP* IPL-G12B-3G ** IPL-G12B-3G and IPL-G12B *** IPL-G12BUMTS Frequency range (3G)Min MaxUplink (UE to Node B) UMTS 850 Band V 824 MHz 849 MHzUMTS 1900 Band II 1850 MHz 1910 MHzUMTS 2100 Band I 1920 MHz 1980 MHzDownlink (Node B to UE) UMTS 850 Band V 869 MHz 894 MHzUMTS 1900 Band II 1930 MHz 1990 MHzUMTS 2100 Band I 2110 MHz 2170 MHzRouteur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 9

PRESENTATIONGSM Frequency range (GPRS-EDGE)Min MaxUplink (MS to BTS)GSM 850 824 MHz 849 MHzE-GSM 900 880 MHz 915 MHzGSM 1800 1710 MHz 1785 MHzGSM 1900 1850 MHz 1910 MHzDownlink (BTS to MS) GSM 850 869 MHz 894 MHzE-GSM 900 925 MHz 960 MHzGSM 1800 1805 MHz 1880 MHzGSM 1900 1930 MHz 1990 MHzEthernet / routage IPEthernetRouteurTranslation d’@IPDNSDHCPSécuritéVPNFirewallLogs10BTDétection de débit 10 ou 100 Mb/s et de câble croiséConnexions distantes - Routes statiques - RIP V2Translation d’@IP source (NAT)Translation d’@IP destination (DNAT)Translation de port (Port forwarding)Gestion du système de nom de domaineInternet : Client ou @IP fixeLAN : DHCP client ou serveur ou @ IP fixeClient ou serveur IPSEC ou TLS/SSL16 VPN simultanéscryptage AES256 ou 3DESGestion de certificat X509Stateful packet inspection (50 règles)Journal horodaté des connexions et déconnexionsPage 10 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

PRESENTATIONServeur d’accès distant (RAS)Utilisateurs distantsConnexionM2MeAlarmesListe de 25 utilisateursSécurisée par VPN PPTP / L2TP-IPSec / TLS Open VPNContrôle de Login et mot de passeContrôle de certificat X509Compatible du logiciel client VPN M2Me_SecureCompatible du service de médiation M2Me_ConnectEmai lau moyen d’1 entrée numériqueLiaison sérieRS232Passerelle RS2321200 à 115200 kb/s parity N / E / ORaw TCP client et serveurModbus maître et esclaveTelnetUnitelwayRouteur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 11

PRESENTATION4 PrésentationIPL-G12B-3GLe routeur IPL-G12B-3Gpermet d’interconnecterdes systèmes industrielspar le réseau GSM UMTS(3G) ou le réseau GPRS-EDGE avec un hautniveau de sécurité.La connexion s’effectuevers l’internet ou unréseau IP privé.La connexion estpermanente.IPL-G12BLe routeur IPL-G12B offrela même fonction mais surle service GPRS-EDGEuniquement (et pas sur leservice UMTS 3G)Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 12

PRESENTATIONIPL-G12B : Service GSM dataSi l’abonnement est de typeGSM data, la connexions’effectue entre le routeur IPL-G12 et un autre routeur du mêmetype ou bien un autre routeuréquipé d’un modem connecté auréseau téléphonique ou encoreéquipé d’un adaptateur etconnecté au réseau RNIS.la connexion n’est paspermanente; le routeur IPL-G12Bnumérote le destinataire, ou bienest appelé.Routeur IPLe routeur IPL-G12 offre un large gamme de solutions de routage quipeuvent être mises en œuvre selon le besoin pour assurer lacommunication entre les machines de chaque réseau à connecter :Connexions distantes décrivant les réseaux directement accessibles,Routes statiques, pour atteindre des réseaux nichés,Translation d‘adresse (NAT, DNAT, port forwarding),Protocole automatique d’échange de table de routage (RIP),Gestion de nom de domaine DNS et DynDNS.VPN de type TLS et IPSec : Sécurité et interconenxion deréseauxGrâce à la technique du VPN, chaque routeur ne peut établir uneconnexion qu’avec un autre routeur - ou un PC isolé – qu’après l’avoirauthentifié à l’aide d’une clé secrète.Toute autre connexion est rejetée.De plus, pour la discrétion, les données peuvent être cryptées.Etabli entre deux routeurs, le VPN assure l’interconnexion transparentedes deux réseaux en sorte que toute machine de l’un des réseaux peutRouteur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 13

PRESENTATIONcommuniquer avec une machine de l’autre réseau.Serveur RASLe routeur IPL-G12 fait également fonction de serveur d‘accès distantpermettant à un groupe d’utilisateurs distants et authentifiés d’accéderaux machines du réseau avec des droits maîtrisés.FirewallLe routeur IPL-G12 dispose d’un firewall « SPI » qui inspecte les paquetsen permanence.Il permet de rejeter les tentatives de connexions non authentifiées surl’Internet hormis les connexions VPN ou le routage autorisé par une réglede Port forwarding.SNMPLe routeur IPL-G12 est agent SNMP; il répond à la MIB2 standard ettransmet un trap SNMP lorsque des événements praramétrablessurviennent.DNSLe système DNS permet au routeur IPL-G12 d’établir une connexionavec un autre routeur même si l’un, l’autre ou les deux routeurs nepossèdent pas une adresse IP connue.Le principe du DNS consiste à désigner un routeur destinataire d’uneconnexion par un nom de domaine (par exemple « etictelecom » est unnom de domaine) plutôt que par son adresse IP.DHCP client et serveurSur l’interface ethernet, le routeur IPL-G12 peut recevoir une adresse IPfixe ou se comporter en client d’un serveur DHCP qui lui attribue uneadresse IP ; il peut aussi se comporter en serveur DHCP. Ces fonctionssont réglées au moyen de DIP switches placés sous la trappe sur la facesupérieure du produit.Emails – smsUn email enregistré dans le routeur peut être transmis lorsque l’entréetout ou rien se ferme ou s’ouvre.Cet email peut être transformé en SMS si l’adresse mail du destinataire aété attribuée à un numéro de téléphone mobile.Serveur de données :L’option IOViewer permet de collecter des données sur le réseauPage 14 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

PRESENTATIONd’automatisme (Modbus Ethernet ou série) et de les présenter sur despages html accessibles depuis l’Internet.Il est également possible de télécommander des sorties.Configuration Html et DIP switchesLe routeur IPL-G12 se configure au moyen d’un navigateur HTML2 micro-interrupteurs (DIP switches) permettent en plus de fixer le moded’attribution de l’adresse IP du routeur (DHCP client ou serveur ou fixe) etde retrouver l’adresse IP « usine » en cas de difficulté.EticFinderLe logiciel ETICFinder livré avec le routeur ; il permet de détectersimplement tous les produits de marque ETIC connectés à un segmentEthernet pour afficher leur adresse MAC ainsi que l’adresse IP qui leurest attribuée sur le réseau.Passerelle sérieLe routeur IPL-G12 dispose d’une liaison série RS232 et RS485 2 fils.La passerelle fonctionne suivant l’un des modes suivants :Raw TCP client ou serveurTelnetModbus maître ou esclaveunitelwayRouteur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 15

PRESENTATIONPage 16 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

INSTALLATION1 Description du produit1.1 VoyantsVoyantLine /VPNLINKDATARDTDSERVICEFonction• Si la carte SIM n’est pas presente : Eteint• Si la carte SIM est présente :Le nombre de clignotements indique la qualité de la réception GSM voirtableau ci-dessous.• Si la carte SIM est présente et le produit configuré :A la mise sous tension, le nombre de clignotements indique la qualité de laréception GSM voir tableau ci-dessous.Ensuite, le voyant est éclairé fixe dés que le routeur est connecté au service.Eclairé : Un VPN a été établiClignotant : VPN en cours d’établissementLe routeur IPL-G12 est correctement connecté au réseau EthernetActivité sur le réseau EthernetCaractères transmis vers la liaison série(reçus du réseau GSM)Caractères transmis vers le réseau GSM(reçus de la liaison série)Clignote si la carte SIM est absenteEclairé lorsque la carte SIM est présenteRouteur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 17

INSTALLATIONLe voyant Line /… s’éclaire régulièrement3 coups bref… s’éclaire régulièrement2 coups bref… s’éclaire régulièrement1 coup bref…est éteint en permanenceSignificationBon niveau de réceptionLe serveur capte le réseau GSM ; le niveau deréception est bon.Niveau de réception suffisantLe serveur capte le réseau GSM ; le niveau de réceptionest acceptable. Cependant, des erreurs peuvent seproduire qui peuvent ralentir la transmission.Améliorer la réception dans la mesure du possible.Niveau de réception faibleLe serveur capte le réseau GSM, mais Il fautaméliorer le niveau de réception.Pas de réceptionLe serveur n’est pas utilisable.Contrôler le connecteur d’antenne et la présence de lacarte SIM.Est-il possible de recevoir une communication avec unmobile usuel ?Page 18 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

INSTALLATION1.2 ConnecteursBornier 2 points : AlimentationN° Signal Fonction1 + + 9 à 30 VDC– 170 mA à 24V2 - TerreConnecteur RJ45 : EthernetBroche Signal Fonction1 Tx + Emission polarité +2 Tx - Emission polarité -3 Rx + Réception polarité +4 N.C -5 N.C -6 Rx - Réception polarité -7 N.C. -8 N.C. -Bornier 8 points : Entrées-sortiesBroche SignalFonction1 + Tension + 3 V DC fournie par le produit.2 IN1 Entrée TOR N°13 IN2 Entrée TOR N°24 IN3 Entrée TOR N°35 OUT1 Sortie relais6 OUT2 Sortie relais7 B + RS485 polarité B8 A - RS485 polarité AConnecteur RS232 DB9 femelleBroche Circuits Désignation RAS - Terminal1 DP CD 109 Détection de porteuse ⇒2 RD RX 104 Réception de données ⇒3 ED TX 103 Emission de données ⇐4 TDP DTR 108 Terminal de données prêt ⇐5 TS SG 102 Terre de signalisation6 PDP DSR 107 Poste de données prêt ⇒7 DPE RTS 105 Demande pour émettre ⇐8 PAE CTS 106 Prêt à émettre ⇒9 IA RI 125 Indicateur d’appel ⇒Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 19

INSTALLATION1.3 DIP switchesSW 1 SW 2Micro-switchesOFF OFF L’@ IP du serveur d’administration est l’adresse programméeONOFFOFFONL’@ IP du serveur d’administration est l’adresse usine :192.168.0.128Le mot de passe qui protège l’accès au serveur d’administration estinopérantl'adresse IP du serveur d’administration est obtenue auprès d’unrouteur BOOTP ou DHCP.ON ON RéservéSW 3, SW 4Non utiliséBouton-poussoir : Un bouton-poussoir est placé sous la trappe à côtédes DIP switches ; il permet de restaurer la configuration usine en cas deblocage du produit au cours de la configuration.Pour restaurer la configuration usine : Mettre le produit sous tension touten maintenant le bouton poussoir enfoncé et jusqu’à passage à la couleurverte du voyant SERVICE.Attention : La configuration éventuellement programmée est perdue.2 VentilationLe produit est conçu pour être fixé sur un rail DIN 35 mm.Pour éviter tout échauffement, en particulier lorsque la températureambiante peut s’élever dans l’armoire électrique, on veillera à ménager unespace de 1 cm de chaque côté du produit pour faciliter l’écoulement dela chaleur.3 AlimentationLa tension d’alimentation doit être régulée et strictement comprise entre 9et 30 Volt continu.Attention : La consommation du routeur est de 4W. Cependant, lorsqu’ilémet, le module GSM consomme des pics de courant de plusieursAmpère pendant quelques millisecondes ; l’alimentation doit être capablede fournir ces pics pour assurer un bon fonctionnement.Page 20 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

INSTALLATION4 Mise à la terreLe boîtier est métallique; on veillera à relier la cosse de mise à la terre duboîtier (située sur sa face inférieure) à une terre de protection efficace.5 Connexion d’équipements au port sérieLe serveur d’accès distant dispose d’une interface RS232 et d’uneinterface RS485 permettant le raccordement d’un équipement asynchroneafin de pouvoir y accéder « en mode TCP/IP » (fonction passerelle IP-RS), soit depuis le réseau local soit à distance.RS232L’équipement raccordé ne doit pas être éloigné de plus d’une dizaine de mètres duserveur RAS et le câble de raccordement doit de préférence être blindé.RS485La liaison RS485 est polarisée par des résistances de 1 K Ohm à l’intérieur du produit.Si l’équipement asynchrone est raccordé à une distance supérieure à 10m, on aura soinde connecter une résistance de terminaison de bus RS485 suivant les règles de l’art.IPL-AD2+ -1 KOhm 1 KOhmB(+) A(-)RS485Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 21

INSTALLATION6 Raccordement des entrées sortiesLe routeur comporte 3 entrées et une sortie digitales.Les entrées ne sont pas isolées; un e-mail peut être émis lorsque l’uned’entre elles change d’état.ETIC3V3In1 23V3In1 33V33 entrées digitalesIn1 4Sortie TORpolariséeF+ F-5 6V+-V < 48 VDCI < 0,5 APar ailleurs, le menu du menu « Contrôle des E/S » du serveurd‘administration permet de visualiser l’état des 3 entrées et detélécommander la sortie.Sortie sur relais :Entrées :Sortie sur relais :Tension maximum 50 VDCCourant maximum : 500 mANon isolée Tension maximum 20 VTension maximum 50 VDCCourant maximum : 500 mA6.1 Contrôle préalableAutorisation de transmission par GSMOn vérifiera que l’utilisation d’un GSM est autorisée dans le bâtiment oùdoit être installé le serveur.Contrôle du niveau de réception GSM avant installationOn contrôlera, au moyen d’un téléphone GSM de type habituel ou bien duvoyant de champ du routeur IPL-G12e ou, que le niveau de réception estsuffisant à l’emplacement où il est prévu d’installer le produit.Si l’on utilise un téléphone portable, on utilisera un abonnement du mêmeopérateur (le même réseau donc) que celui prévu pour le serveur d’accèsdistant ; 3 barres de champ sont nécessaires.Page 22 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

INSTALLATION7 AntenneInstallation de l’antenneSi l’armoire dans laquelle doit être installé le routeur est métallique, il fautinstaller l’antenne GSM à l’extérieur de l’armoire (voir paragraphe 9).Type de l’antenneLe routeur se raccorde à une antenne externe à support magnétique(ANT200), ou bien à une antenne destinée à être vissée sur un supportmetallique horizontal ; le dessus d’une armoire métallique par exemple(ANT207).L’antenne est fournie séparément.ANT200Gain = 0 dBANT207Gain = 0 dBANT203Gain = 3 dB8 Installation de la carte SIMAttention :Pour effectuer cette opération, placer le routeur hors tension.Etape 1 : Installation de la carte SIMQue l’abonnement soit du type GSM data ou du type liaison permanenteGPRS ou GPRS-EDGE, une carte SIM doit être insérée dans lelogement situé sur la face supérieure du produit.Appuyer sur le poussoir au moyen d’une pointe;Extraire le porte carte SIM;Y placer la carte SIM;Replacer le porte-carte SIM.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 23

INSTALLATIONEtape 2 : Contrôle du niveau de réception GSMUne fois le produit installé, on contrôlera que le serveur RAS se connectecorrectement au réseau GSM.Le contrôle s’effectue au moyen du voyant Line / de la face avant du serveur :Le voyant Line /… s’éclaire régulièrement3 coups bref… s’éclaire régulièrement2 coups bref… s’éclaire régulièrement1 coup bref…est éteint en permanenceSignificationBon niveau de réceptionLe serveur capte le réseau GSM ; le niveau deréception est bon.Niveau de réception suffisantLe serveur capte le réseau GSM ; le niveau de réceptionest acceptable. Cependant, des erreurs peuvent seproduire qui peuvent ralentir la transmission.Améliorer la réception dans la mesure du possible.Niveau de réception faibleLe serveur capte le réseau GSM, mais Il fautaméliorer le niveau de réception.Pas de réceptionLe serveur n’est pas utilisable.Contrôler le connecteur d’antenne et la présence de lacarte SIM.Est-il possible de recevoir une communication avec unmobile usuel ?Note : Le niveau de signal est également affiché dans la page« Système » puis « Modem ».Page 24 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE1 Etapes de la configuration du routeurPour configurer le routeur, nous conseillons de procéder comme suit :• Connecter un PC au routeur• Configurer l’interface LAN• Configurer l’abonnement au service GSM3G GPRS EDGEou GSM data• Configurer les connexions VPN avec d’autres routeurs3G GPRS EDGEou GSM data• Configurer les fonctions de translation d’adresse et redirection de port• Configurer la connexion d’utilisateurs distants3G GPRS EDGE3G GPRS EDGE en utilisant le service M2Me_ConnectGSM data• Saisir la liste des utilisateurs distants• Configurer le firewall• Configurer l’envoi d’emails d’alarme2 Connexion du PC en vue de la configuration2.1 IntroductionLe routeur se configure au moyen d’un PC équipé d’un navigateur HTML.Aucun logiciel complémentaire n’est nécessaire.Navigateur HTMLL’utilisation de Internet explorer 8 est conseillée.Adresse du serveur d’administration :Le serveur web d’administration se trouve à l’adresse IP de l’interfaceEthernet LAN du routeur (192.168.0.128 par défaut).Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 25

MISE EN SERVICEPremière configuration :La première configuration s’effectue en connectant le PC directement auconnecteur Ethernet du produit.Modification de la configuration :Les modifications ultérieures peuvent être en plus effectuées par leréseau local ou bien à distance à travers Internet en utilisant uneconnexion distante VPN.Restitution à l’adresse IP usine :L’adresse IP usine 102.168.0.128 peut être restituée en plaçant les microswitchesSW1 sur ON et SW2 sur OFF. De plus, lorsque les microswitchessont dans cette position, et si un mot de passe protège l’accèsau serveur de configuration, il est rendu inopérant par l’interface Ethernetlocale.Protection d’accès au serveur d’administration :Si vous ne parvenez pas à accéder au serveur d’administration, c’estprobablement que l’accès en a été limité pour des raisons de sécurité oupour d’autres raisons.Voir paragraphe 5 : perte de l’adresse IP du serveur d’administration.Voir aussi paragraphe 6.4.1. : Droits d’administrationPosition des micro-switchesLes micro-switches SW01 et SW02 ne doivent pas être laissés sur laposition SW01=ON et SW02=OFF (restitution de l’adresse IP usine) encours d’utilisation du produit.Caractères accentuésLes caractères accentués ne doivent pas être utilisés.« Copier / coller » :Les paramètres doivent être saisis au clavier et pas « collés ».Cependant, si on procède par «copier / coller », et après avoir collé le paramètre, on peutsupprimer le dernier caractère et le saisir à nouveau.2.2 Première configurationEtape 1 : Créer ou modifier la connexion TCP/IP du PC (voir annexe 1).Attribuer à cette connexion une adresse IP différente mais cohérenteavec l’adresse IP usine du routeur qui est 192.168.0.128.On utilisera par exemple l’adresse 192.168.0.127 pour le PC.Etape 2 : Connecter le PC au routeurPage 26 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICEConnecter le PC au routeur, soit directement soit au moyen d’un switch.Etape 3 : Lancer le navigateurOuvrir le navigateur et désigner l’adresse IP du serveur d’administrationprogrammée en usine : 192.168.0.128 (ne pas faire précéder l’adresse dewww).La page d’accueil du serveur d’administration s’affiche.2.3 Modifications ultérieures de la configurationLes modifications peuvent être effectuées depuis le réseau local àl’adresse qui a été attribuée au serveur d’administration (voirparamétrage).Modification par le réseau local• Ouvrir le navigateur du PC et saisir l’adresse IP du serveurd’administration du routeur.• Saisir, s’il y a lieu, le nom d’utilisateur et le mot de passe qui ont étéprogrammés pour protéger l’accès au serveur d’administration.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 27

MISE EN SERVICESi la fenêtre de demande d’identification ne s’affiche pas :• L’adresse IP que vous avez saisie est fausse.Si la fenêtre de demande d’identification s’affiche, mais pas la page web :• Le nom d’utilisateur ou le mot de passe d’accès au serveurd’administration sont erronés.Modification à distance par l’InternetLes modifications de configuration à distance doivent être réalisées avecprudence ; en effet, si l’on modifie un paramètre critique de manièreinadaptée, la connexion pourra être perdue.Après avoir connecté le PC au routeur via l’Internet, procéder comme si lePC était raccordé au réseau local.3 Redémarrage après modification de certains paramètresCertains paramètres ne sont pris en compte par le routeur qu’aprèsredémarrage du produit.Lorsque l’on effectue la configuration à distance, ceci a en plus pour effetde couper la liaison VPN.Il est donc conseillé d’opérer comme suit :• Après modification des paramètres d’une page, cliquer le bouton« enregistrer » placé en bas de la page.• Lorsque le paramétrage est terminé, pour que les modificationssoient prises en compte, cliquer le bouton « redémarrer » de couleurrouge qui apparaît en bas de la barre verte de menu.Le routeur redémarre (la durée du redémarrage est de 15 sec environ).• Fermer le navigateur html, puis l’ouvrir à nouveau pour contrôlerque le paramétrage a correctement été pris en compte.Le bouton « redémarrer » doit avoir disparu.Attention : Le bouton « redémarrer » est situé sous le dernier menu dela barre de couleur verte; il peut ne pas apparaître à l’écran si tous lesmenus sont ouverts ; contrôler en utilisant la barre de navigation.Page 28 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE4 Restitution de l’adresse IP UsineAu cas où l’adresse IP de l’interface LAN du routeur ne pourrait êtreidentifiée, on procéder suivant l’une des deux méthodes ci-dessous :1ere méthode :On place le DIP switch SW01 sur la position ON. et SW02 OFF.L’adresse IP « Usine » 192.168.0.128 est restituée tant que ces DIPswitches sont maintenus dans cette position.2eme méthode :Le logiciel ETICFinder permet de détecter tous les produits fabriquéspar ETIC TELECOM et connectés sur le segment Ethernet ; lelogiciel affiche l’ adresse IP attribuée à chacun d’entre eux.5 Retour à la configuration Usineil peut être nécessaire de restaurer la configuration Usine.Dans ce cas, le routeur retrouve la configuration qu’il avait à la livraison(voir ci-dessous).Deux solution permettent de restituer la configuration usine : Soit lebouton poussoir, soit un bouton du serveur d’administration.Pour restituer la configuration Usine au moyen du bouton poussoir,• Mettre le routeur hors tension,• Ouvrir la trappe située sur la partie supérieure,• Appuyer sur le poussoir avec une pointe de tournevis par exemple,• Mettre sous en tension tout en maintenant le poussoir enfoncé.Le voyant SERVICE passe au rouge ; le routeur s’initialise et laconfiguration par défaut est restituée.Pour restituer la configuration usine au moyen du serveur web,• Sélectionner le menu « Maintenance », puis le menu « Sauvegarde /Restauration ».• Cliquer le bouton « Restaurer la configuration Usine ».Le voyant SERVICE passe au rouge ; le routeur s’initialise et laconfiguration par défaut est restituée.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 29

MISE EN SERVICERemarque :Après avoir restauré la configuration Usine du routeur, la configurationstockée précédemment est perdue.6 Protection de l’accès au serveur d’administration• Sélectionner le menu « Configuration », « Sécurité » puis « Droitsd’administration ».• Saisir le nom d’utilisateur et le mot de passe qui protègent l’accès auserveur d’administration.7 Retrouver l’accès libre au serveur d’administrationEn cas de perte du nom d’utilisateur et du mot de passe d’accès auserveur d’administration, on peut restituer un accès libre au serveurd’administration, par l’interface LAN uniquement, en plaçant le DIP switchSW01 en position ON et SW02 en position OFF.Remarque :Les DIP switches ne doivent pas être laissés dans cette position en coursd’utilisation du produit.8 Configurer les adresses IP sur l’interface localeLes adresses IP suivantes doivent être enregistrées :L’adresse IP du routeur sur le réseau local,Le groupe d’adresses IP qui seront attribuées automatiquement auxPC distants lorsqu’il se connectent au routeur par l’Internet.• Sélectionner le menu « Système » cliquer sur « Protocole IP ».• Configurer les paramètres « Réseau LAN » :Page 30 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICEParamètre « Adresse IP » :C’est l’adresse IP du routeur sur le réseau local. Elle permet aussid’accéder au serveur d’administration (à distance ou par ethernet).Paramètre « Masque de sous-réseau » (netmask) :Le masque de sous-réseau définit la structure des adresses IP de toutesles stations d’un segment de réseau local.La valeur de ce masque doit être fournie par le responsable du réseau ;cependant, on notera que dans les réseaux de 254 stations, le masquede sous-réseau est 255.255.255.0.Remarque : Si « l’adresse IP usine » est forcée au moyen des microswitches(SW1 ON et SW2 OFF), un message d’avertissement est affichémais cela n’empêche pas de saisir l’adresse IP dans le routeur. Elle nedeviendra effective que lorsque les micro-switches seront repassés enmode « @IP programmée » (SW1 OFF et SW2 OFF).Il en est de même si le routeur a été forcé en mode client BOOTP ouDHCP.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 31

MISE EN SERVICE9 Paramétrage d’un abonnement au service 3G ou GPRS-EDGESélectionner le menu « Système » puis «Internet », puis « Compte ».Paramètre « Activer la connexion Internet » :Sélectionner le choix « Par modem »Paramètre « Serveur de médiation » :Sélectionner le choix « Aucun si la connexion est établie directement oubiensélectionner le choix M2Me si la connexion VPN est réalisée au moyen duservice M2Me_Connect.Paramètre « mode 3G / GPRS » :Cocher la case correspondante.Paramètres « APN », « Identifiant » Mot de passe » :Saisir les valeurs de ces paramètres fournies par l’opérateur de réseauGPRS.Attention : si aucun identifiant ou mot de passe n’est fourni dans ledocument d’abonnement, saisir un caractère quelconque dans leschamps correspondants.Paramètre « Serveur de courriers sortants » et « adresse email ducompte » :Si le serveur RAS doit envoyer des emails, une adresse mail doit lui êtreattribuée et les courrier sortants doivent être envoyés vers un serveur decourriers.Saisir les paramètres correspondants.Page 32 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE10 Paramétrage d’un abonnement au service GSM-dataLe service GSM data est un service de transmission de données à 9600b/s.Une conexion peut être établie entre deux routeurs abonnés au serviceGSM data ou bien entre un routeur abonné au service GSM data et unautre routeur connecté au réseau téléphonique ou RNIS.La connexion n’est pas permanente. Un des routeur compose le N° del’autre.Ce service est fourni par le routeur IPL-G12B seulement.Pour paramétrer l’abonnement GSM data, effectuer les opérationssuivantes :• Sélectionner le menu « Internet » puis «Compte».• Vérifier que la case à cocher Mode GPRS/3G n’est pas cochée.• Sélectioner le menu « Système » puis « Modem ».• Cocher la case « Utiliser la chaîne d'initialisation par défaut ».Note : Aucun caractère numérique ou alphanumérique ne doit être saisidans le champ « Préfixe de numérotation ».11 Télécommande de connexion au service 3G ou GPRS-EDGESi le routeur ne peut pas rester en permanence connecté au réseauGPRS, il est possible de le télécommander.Les options suivantes sont proposées :Paramètre « Se connecter à Internet suite à un appel venant du » :Un appel provenant du N° de téléphone (fixe ou mobile) saisi dans cechamp agit comme une télécommande de connexion du routeur àl’Internet.Paramètre « Autoriser la contre-appel vers Internet » :Cocher cette case pour autoriser le contre-appel vers l’internet.Lorsque cette case est cochée, le routeur se connectera à l’Internet chaque foisqu’il en recevra la télécommande d’un utilisateur au moyen d’une connexion GSMdata.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 33

MISE EN SERVICELorsqu’une connexion PPP est établie vers le routeur IPL-G12 au moyen duservice GSM data et si, au cours de la connexion, l’utilisateur distant entre lechiffre « 0 » dans le champ destiné au N° de contre-appel, alors le routeur seconencte auréseau GPRS et à l’Internet.Paramètre « Se connecter à Internet à la mise sous tension » :Si cette case es tcochée, le routeur se connecte à l’Internet à la misesous tension.Paramètre « Se connecter à Internet à la mise sous tension » :Si cette case est cochée, le routeur se connecte à l’Internet à la misesous tension.Paramètre « Se connecter à Internet à la fermeture de l'entrée 1 » :Si cette case est cochée, le routeur se connecte à l’Internet à la fermeturede l'entrée 1Bouton « Se connecter à Internet maintenant » :Si ce bouton est cliqué, le routeur se connectePage 34 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE12 Publier l’adresse IP dynamique du routeur sur l’Internet12.1 PrincipeCas du réseau GPRSL’adresse IP attribuée au routeur lorsqu’il se connecte au service GPRSest attribuée par l’opérateur du réseau GSM-GPRS-EDGE.Elle peut être de l’un des trois types suivants :Une adresse privée :Le réseau GPRS est un réseau séparé de l’Internet ; certains opérateursne fournissent pas au routeur une adresse publique mais une adresseprivée qui ne peut pas être utilisée sur l’Internet.Une adresse publique dynamique :Le réseau GPRS attribue généralement une adresse publique au routeur ;mais cette adresse change à chaque connexion. On dit qu’elle estdynamique.Une adresse IP publique fixe :Certains abonnement prévoient l’attribution d’une adresse IP publiquefixe.Si l’adresse IP est publique et dynamique, il est utile de la publier àchaque changement sur un serveur spécialisé appelé DynDNS.Cette solution permet à un autre routeur ou à un PC de l’Internet deprendre l’initiative de se connecter à tout instant au routeur GPRS.Grâce au serveur DynDNS, un utilisateur peut connecter son PC aurouteur GPRS en utilisant le nom de domaine dynamique attribué aurouteur ETIC (etictelecom.dyndns.org, par exemple) au lieu de l’adresseIP inconnue.Le procédé est le suivant :Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 35

MISE EN SERVICEChaque fois que le routeur se connecteau réseau GPRS, une adresse IP lui estattribuée par le système GPRS.Le routeur IPL publie cette adresse IP surl’Internet auprès du serveur DynDNS etface à son nom de machine (etictelecom,dans notre exemple).Chaque fois qu’il souhaite se connecterau produit, le PC ou le routeur distanttransmet au serveur DYNDNS unerequête visant à obtenir en retourl’adresse IP du routeur IPL-G12possédant le nom de domaine« etictelecom ».Une fois qu’il a acquis l’adresse IP durouteur IPL-G12, le routeur distant peutétablir la connexion à travers l’Internet.Page 36 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

12.2 ParamétrageMISE EN SERVICEEtape 1 : Ouvrir un compte auprès de DynDNS.org pour réserver unnom de domaine dynamiqueLe site web www.dyndns.org permet de réserver un « nom de domainedynamique» sur l’Internet. C’ est le nom que l’on attribue au routeur surl’Internet (etictelecom.dyndns.org, par exemple).Etape 2 : Configurer le produit• Sélectionner le menu « Internet » puis « @IP dynamique » .• Activer l’option DynDNS .• Sélectionner l’option « serveur DynDNS.org ».• Entrer le « nom de machine » fourni par DynDNS ainsi que leslogin et mot de passe associés.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 37

MISE EN SERVICE13 Interconnexion de routeurs au moyen de VPNs (3G GPRS-EDGE)Les connexions VPN ne peuvent être mises en oeuvre que si le routeurest utilisé sur le service 3G ou GPRS-EDGE.13.1 PrincipesConnexions VPNChaque connexion VPN est un tunnel établi entre deux routeurs.Un tunnel VPN permet de connecter deux réseaux de façon sûre et transparente.25 connexions VPN peuvent être créées.Une connexion peut être entrante ou sortante.Si c’est le routeur du site distant qui a l’initiative de la connexion, alors elleest appelée « connexion entrante » et le routeur distant est appelé« routeur client VPN ».Si c’est le routeur que l’on est en train de configurer qui a l’initiative de laconnexion, elle est appelée « connexion sortante » ; le routeur distant estappelé « routeur serveur VPN ».Type de VPN2 types de VPN peuvent être établis entre deux routeurs IPL-E : IPSec ou TLS/SSL.Une fois un type de VPN sélectionné (IPSEC ou TLS/SSL, il s’applique àl’ensemble des connexions avec les sites distants.IPSecOn choisira IPSec pour assurer la compatibilité lorsque le routeur IPL-Edoit communiquer avec un routeur d’une autre marque.TLS/ SSLCe protocole offre plus de souplesse qu’IPSec ; en particulier lorsquele trafic VPN doit être routé au travers de routeurs intermédiaires.On choisira TLS lorsqu’il n’est pas nécessaire d’assurer lacompatibilité avec d’autres routeurs.Pour paramétrer l’interconnexion des sites, il faut procéder en deuxétapes :Etape 1 : Configurer type de VPN qui sera utilisé (IPSec ou TLS/SSL).Page 38 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICEEtape 2 : Paramétrer les connexions distantes avec chacun des sites.13.2 VPN IPSec13.2.1 Paramétrage du protocole IPSec• Sélectionner le menu « Sécurité » puis « VPN », puis « ParamètresVPN ».• Sélectionner le choix IPSec puis cliquer sur « Propriétés » pour réglerles paramètres.Paramètre « Protocole » :Choisir de préférence ESP qui réalise le cryptage.Paramètre « Authentification par » :Elle peut être assurée soit par une clé pré partagée, soit par un certificatnumérique.La clé pré partagée est un code qu’utilise le routeur pour s’authentifier.La routeur IPL-G12 peut utiliser la clé pour toutes les connexions (ycomprispour les connexions avec des utilisateurs distants) ou bien utiliserdes clés différentes.Le certificat est un fichier complexe qui est utilisé par les routeurs pours’authentifier.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 39

MISE EN SERVICEParamètre « Valeur Clé » :Une clé doit être saisie uniquement si l’authentification par clé a étéchoisie.Si l’on utilise des clés différentes, le routeur doit posséder une adresse IPfixe ou bien un nom de domaine DYNDNS.Saisir la valeur de la clé qui identifie le routeur .Paramètres « Authentification » et « Cryptage » :Sauf difficulté particulière, on sélectionnera le choix « Auto ».Les algorithmes de cryptage et de hachage proposés sont tous d’un hautniveau de sécurité (par exemple l’ancien algorithme DES n’est pasproposé). Toutefois, AES offre une meilleure sécurité par rapport à 3DES,de même que SHA-1 par rapport MD5.Paramètre « DPD Keepalives » :Le VPN est entretenu périodiquement par chaque routeur ; pour ce faire,et en l’absence de données à émettre, chaque routeur transmet unetrame de maintien du VPN.Ce paramètre fixe la période d’envoi de la trame de maintien du VPN.Paramètre « Mort de la connexion » :Ce paramètre fixe le délai maximum d’attente d’un message Keep alive.Une fois ce délai échu, et en l’absence de réception du message Keepalive, le routeur coupe le VPN.ATTENTION : Une fois les paramètres IPSec configurés, cliquer surle bouton « OK » puis sur le bouton « Enregistrer » avant deconfigurer une connexion distante.Page 40 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE13.2.2 Configurer une connexion IPSEC sortanteAdresse IPLANConnexionsortanteGSMINTERNETVPNRéseau IPAdresse IPLAN distantAdresse IPWANRouteurAdresse IPWAN distantRouteur distant• Cliquer sur le bouton « Ajouter une connexion » et choisir« Connexion sortante ».Paramètre „Adresse WAN distant“ :L’adresse WAN distante est soit l’adresse IP fixe Internet du routeurdistant, soit son nom de domaine sur DynDns.org.Paramètres « Adresse LAN distante » et « masque du Lan distant »:Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 41

MISE EN SERVICEL’adresse et le masque de sous-réseau LAN distants correspondent àceux du réseau local des machines distantes.• Cas de l’authentification par clé partagéeSi la clé saisie lors de la configuration du type de VPN (IPSec) doit êtreutilisée pour la connexion VPN en cours de paramétrage, aucuneconfiguration complémentaire ne doit être effectuée.Si une autre clé doit être utilisée, cocher la case « Utiliser une cléspécifique pour cette connexion » et compléter le paramétrage selon lesindications ci-dessous :Paramètre „Valeur clé“ :Saisir la clé.Paramètre „Mon adresse IP WAN“ :Saisir l’adresse IP du routeur sur l’interface WAN.• Cas de l’authentification par certificatParamètre „Mon SubjectAlt Name :Il s’agit du champ « email » du certificat du routeur dont le paramétrageest en coursCe paramètre est utilisé par le routeur pour s’authentifier..Paramètre „SubjectAlt Name distant :Il s’agit du champ « email » du certificat du routeur distantCe paramètre est utilisé par le routeur distant pour s’authentifier.13.2.3 Configurer une connexion IPSec entranteAdresse IPLANConnexionentranteGSMINTERNETVPNRéseau IPAdresse IPLAN distantAdresse IPWANRouteurAdresse IPWAN distantRouteur distantPage 42 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE• Cliquer sur le bouton « Ajouter une connexion » puis choisir« Connexion entrante ».Paramètres « Adresse du réseau LAN distant » et :L’adresse et le masque de sous-réseau LAN distants correspondent àceux du réseau local des machines distantes.• Cas de l’authentification par clé pré partagée :Si la clé saisie lors de la configuration du type de VPN (IPSec) doit êtreutilisée pour la connexion VPN en cours de paramétrage, aucunparamétrage complémentaire ne doit être effectué.Si une autre clé doit être utilisée, cocher la case « Utiliser une cléspécifique pour cette connexion » et compléter le paramétrage selon lesindications ci-dessous :Paramètre „Valeur clé“ :Saisir la clé.Paramètre „Mon adresse IP WAN“ :Saisir l’adresse IP du routeur sur l’interface WAN.Paramètre „Adresse IP WAN distante“ :Saisir l’adresse IP du routeur fr l’interface WAN du routeur distant..Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 43

MISE EN SERVICE• Cas de l’authentification par certificat :Paramètre „Mon SubjectAlt Name :Il s’agit du champ « email » du certificat du routeur dont le paramétrageest en coursCe paramètre est utilisé par le routeur pour s’authentifier..Paramètre „SubjectAlt Name distant :Il s’agit du champ « email » du certificat du routeur distantCe paramètre est utilisé par le routeur distant pour s’authentifier.Page 44 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE13.3 VPN TLS13.3.1 Paramétrage du protocole TLS / SSLSi l’on choisit un tunnel TLS / SSL, l’authentification réciproque desrouteurs est assurée au moyen des certificats numériques complétés pardes codes appelés Login et mot de passe.Des certificats numériques spécifiques peuvent être ajoutés ; néanmoins,pour faciliter les opérations, le routeur IPL-E est livré avec un certificatunique chargé en usine.• Pour paramétrer le type de VPN « TLS », sélectionner le menu« Sécurité » puis « VPN », puis « Paramètres VPN ».• Choisir le type de VPN « TLS », puis cliquer sur le bouton« Propriétés ».Paramètres «Numéro de port» et « protocole» :On choisira de préférence le protocole UDP plutôt que TCP pour unemeilleure efficacité.Attention : Le numéro de port utilisé pour l’interconnexion de routeurs par VPN doit êtredifférent du N° de port utilisé pour les connexions d’utilisateurs distants.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 45

MISE EN SERVICEParamètres « Adresse réseau VPN » et masque réseau VPN :Le tunnel VPN une fois établi est équivalent à une liaison par câbleethernet. Chaque extrémité du tunnel doit avoir une adresse IP. Il s’agitd’une adresse IP appartenant à un réseau privé et nécessaire pour lefonctionnement du tunnel, mais non visible pour les applications. Cetteadresse IP ne doit pas être confondue avec l’adresse IP du routeur sur leréseau IP. Cette valeur est utilisée seulement lors de la configuration d'unnœud entrant.Adresse IPdu réseau VPN(172.16.1.0 par défaut)Adresse IPLANGSMINTERNETVPNRéseau IPAdresse IPLANAdresses IPdes interfaces WANParamètre « délai de détection » :Le VPN est entretenu périodiquement par chaque routeur ; pour ce faire,et en l’absence de données à émettre, chaque routeur transmet à l’autreune trame de maintien du VPN.A l’issue du « délai de détection », et en l’absence de réception de cettetrame, le VPN est coupé.Paramètre « Délai de retransmission » :A compléterParamètres « Algorithmes de cryptage et de hachage » :Les algorithmes de cryptage et de hachage proposés sont tous d’un hautniveau de sécurité (par exemple l’ancien algorithme DES n’est pasproposé). Toutefois, AES offre une meilleure sécurité par rapport à 3DES,de même que SHA-1 par rapport MD5.ATTENTION : Une fois les paramètres TLS configurés, cliquer sur lebouton « OK » puis sur le bouton « Enregistrer » avant de configurer unnœud distant.Page 46 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE13.3.2 Configurer une connexion TLS sortanteAdresse IPLANConnexionsortanteGSMINTERNETVPNRéseau IPAdresse IPLAN distantAdresse IPWANRouteurAdresse IPWAN distantRouteur distant• Sélectionner le menu « Routage » ; cliquer sur « Noeuds distants ».• Cliquer sur le bouton « Ajouter un noeud »• Choisir « Connexion sortante ».Paramètre « Identifiant et mot de passe » :Indiquer l'identifiant et le mot de passe qui seront utilisés par le routeurpour s'authentifier auprès du nœud distant en complément du certificat.Paramètre „Adresse WAN distante“ :L’adresse WAN distante est soit l’adresse IP fixe Internet du routeurdistant, soit son nom de domaine sur DynDns.org.13.3.3 Configurer une connexion TLS entranteAdresse IPLANConnexionentranteGSMINTERNETVPNRéseau IPAdresse IPLAN distantAdresse IPWANRouteurAdresse IPWAN distantRouteur distantRouteur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 47

MISE EN SERVICE• Sélectionner le menu « Routage » ; cliquer sur « Connexionsdistantes ».• Cliquer sur le bouton « Ajouter un noeud».• Choisir « Connexion entrante ».Paramètre « Identifiant et mot de passe » :Indiquer l'identifiant et le mot de passe du routeur distant.Paramètre « Adresse LAN distante » :L’adresse et le masque de sous-réseau LAN distants correspondent àceux du réseau local des machines distantes.Paramètre « Nom commun » :Entrer la valeur du champ "Commun name" du certificat que le routeurdistant devra utiliser pour s'identifier.Page 48 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE14 Interconnexion de routeurs par le service GSM data à 9600 b/sCette fonction est fournie par le routeur IPL-G12B seulement.Le service GSM data est un service de transmission de donnéescommuté à 9600 b/s.Il permet de relier des routeurs GSM entre eux ou avec d’autres routeursconnectés au réseau téléphonique.Une connexion PPP doit être associée à chaque routeur susceptible dese connecter avec le routeur IPL-G12.25 connexions PPP peuvent être créées.Une connexion PPP peut être entrante, si le routeur est seulement appelépar le routeur distant.Elle peut être sortante si le routeur peut seulement appeler vers le routeurdistant.Elle peut aussi être sortante et entrante.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 49

MISE EN SERVICE14.1 Configurer une connexion PPP entrantePour créer une connexion PPP entrante• sélectionner le menu « Routage » puis « connexion distante » puiscliquer le bouton « ajouter une connexion » ; la fiche de la nouvelleconnexion apparaît.Paramètre « actif » :Sélectionner Oui pour ajouter la connexion.Sélectionner Non, pour retirer la connexion du réseau tout en conservantses paramètres en mémoire.Paramètre « Type» :Sélectionner le type « commuté pour établir une connexion PPP avec unautre routeur via le service GSM-data.Paramètre « Nom du neoud » :Saisir un libellé désignant la connexion en évitant les caractèresaccentués.Paramètre « Direction d‘appel » :Choisir « Entrante ».« @IP du routeur distant » et « Masque réseau distant » :Saisir l’adresse IP de l’interface du réseau local du routeur distant ainsique le masque correspondant.Paramètre « Identifiant du nœud » et « Mot de passe du nœud» :Saisir l’identifiant et le mot de passe que le routeur distant devra fournirpour être accepté lors d’une connexion entrante. Ces paramètres sontobligatoires.Paramètres « Vérifier le N° d’appelant» et « N° d’appel »:Si le choix « Oui » est sélectionné, lors d’un appel entrant, le routeurétablit la connexion et enregistre l’identifiant et le mot de passe reçus dunœud distant ; si ces codes ne sont pas en accord avec le N° d’appel, lerouteur libère la ligne.Page 50 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICEParamètre « Filtre pare-feu » :Sélectionner le filtre à affecter à cette connexion. Le filtre doit avoir étédéfini par ailleurs (Menu « Configuration sécurité »).Paramètre « NAT » :Si le choix « Oui » est sélectionné, le routeur remplace toute adresse IPsource d’une station du réseau local par sa propre adresse siasie dasn lechamp « @IP PPP locale ».Paramètre « @IP PPP locale » :Saisir, si nécessaire, l’adresse IP du routeur sur la liaison PPP.Paramètre « @IP PPP distante » :Saisir, si nécessaire, l’adresse IP du routeur du nœud distant sur laliaison PPP.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 51

MISE EN SERVICE14.2 Configurer une connexion PPP sortantePour créer une connexion PPP sortante• sélectionner le menu « Routage » puis « connexion distante » puiscliquer le bouton « ajouter une connexion » ; la fiche de la nouvelleconnexion apparaît.Paramètre « actif » :Sélectionner Oui pour ajouter la connexion.Sélectionner Non, pour retirer la connexion du réseau tout en conservantses paramètres en mémoire.Paramètre « Type» :Sélectionner le type « commuté pour établir une conenxion PPP avec unautre routeur via le service GSM-data.Paramètre « Nom » :Saisir un libellé désignat la connexion en évitant les caractèresaccentués.Paramètre « Direction d‘appel » :Choisir « Sortante ».Paramètres « @IP du routeur distant » et « Masque réseau distant » :Saisir l’adresse IP de l’interface du réseau local du routeur distant ainsique le masque correspondant.Paramètre « Modem » :Sélectionner le choix « Interne ».Note : I est également possile d’utliser un modem externe (consulter notreservice client).Paramètre « Numéro d’appel» :Saisir le N° d’appel (GSM, ou éventuellement RTC) que doit composer lerouteur pour atteindre le nœud distant.Paramètre « Mon identifiant » et « Mon mot de passe » :Saisir l’identifiant et le mot de passe que le routeur utilisera pours’authentifier auprès du routeur distant.Page 52 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICEParamètre « Time-out inactivité » :Si aucun paquet IP n’est reçu ou transmis sur la liaison PPP pendant cetemps, le routeur libère la ligne.Paramètre « Time-out premier paquet » :Dés qu’il est connecté, le routeur se met en attente de paquets IP àtransmettre ou recevoir. Si aucun paquet n’a été reçu ou transmis àl’échéance de ce délai, la connexion est libérée.Cliquer sur le bouton « Conf avancée » pour entrer les paramètrescomplémentaires si nécessaire.Paramètre « Filtre pare-feu » :Sélectionner le filtre à affecter à cette connexion. Le filtre doit avoir étédéfini par ailleurs (Menu « Configuration sécurité »).Paramètre « NAT » :Si le choix « Oui » est sélectionné, le routeur remplace toute adresse IPsource d’une station du réseau local par sa propre adresse siasie dasn lechamp « @IP PPP locale ».Paramètre « @IP PPP locale » :Saisir, si nécessaire, l’adresse IP du routeur sur la liaison PPP.Paramètre « @IP PPP distante » :Saisir, si nécessaire, l’adresse IP du routeur du nœud distant sur la liaison PPP.14.3 Configurer une connexion PPP sortante et entrantePour créer une connexion PPP sortante et entrante• sélectionner le menu « Routage » puis « connexion distante » puiscliquer le bouton « ajouter une connexion » ; la fiche de la nouvelleconnexion apparaît.Paramètre « actif » :Sélectionner Oui pour ajouter la connexion.Sélectionner Non, pour retirer la connexion du réseau tout en conservantses paramètres en mémoire.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 53

MISE EN SERVICEParamètre « Type» :Sélectionner le type « commuté pour établir une conenxion PPP avec unautre routeur via le service GSM-data.Paramètre « Nom » :Saisir un libellé désignat la connexion en évitant les caractèresaccentués.Paramètre « Direction d‘appel » :Choisir « Entrante et sortante » si la connexion peut être établie àl’initiative de l’un ou de l’autre.« @IP du routeur distant » et « Masque réseau distant » :Saisir l’adresse IP de l’interface du réseau local du routeur distant ainsique le masque correspondant.Paramètre « Modem » :Indiquer si la connexion avec ce nœud distant doit utiliser le modeminterne (le modem GSM inclus dans le routeur).Paramètre « Numéro d’appel» :Saisir le N° d’appel (GSM, ou éventuellement RTC) que doit composer lerouteur pour atteindre le nœud distant.Paramètre « Mon identifiant » et « Mon mot de passe » :Saisir l’identifiant et le mot de passe que le routeur utilisera pours’authentifier auprès du routeur distant lors d’une connexion sortante.Paramètre « Identifiant du nœud » et « Mot de passe du nœud» :Saisir l’identifiant et le mot de passe que le routeur distant devra fournirpour être accepté lors d’une connexion entrante. Ces paramètres sontobligatoires.Paramètre « Time-out inactivité » :Si aucun paquet IP n’est reçu ou transmis sur la liaison PPP pendant cetemps, le routeur libère la ligne.Paramètre « Time-out premier paquet » :Dés qu’il est connecté, le routeur se met en attente de paquets IP àtransmettre ou recevoir. Si aucun paquet n’a été reçu ou transmis àl’échéance de ce délai, la connexion est libérée.Page 54 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICECliquer sur le bouton « Conf avancée » pour entrer les paramètrescomplémentaires si nécessaire.Paramètre « Vérifier le N° d’appelant» :Si le choix « Oui » est sélectionné, lors d’un appel entrant, le routeurétablit la connexion et enregistre l’identifiant et le mot de passe reçus dunœud distant ; si ces codes ne sont pas en accord avec le N° d’appel, lerouteur libère la ligne.Paramètre « Filtre pare-feu » :Sélectionner le filtre à affecter à cette connexion. Le filtre doit avoir étédéfini par ailleurs (Menu « Configuration sécurité »).Paramètre « NAT » :Si le choix « Oui » est sélectionné, le routeur remplace toute adresse IPsource d’une station du réseau local par sa propre adresse siasie dasn lechamp « @IP PPP locale ».Paramètre « @IP PPP locale » :Saisir, si nécessaire, l’adresse IP du routeur sur la liaison PPP.Paramètre « @IP PPP distante » :Saisir, si nécessaire, l’adresse IP du routeur du nœud distant sur laliaison PPP.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 55

MISE EN SERVICE15 Mise en œuvre de fonctions de routageUne fois les connexions (VPN TLS ou IPsec ou PPP) créées, lesmachines connectées au routeurs sont automatiquement interconnectées.Néanmoins, la fonction « Route statique » permet à un routeur detransmettre des trames IP destinées à des machines même si ellesn’appartiennent pas au réseau connecté à l’autre extrémité du VPN.De plus, la fonction appelée DNAT permet à un routeur de renvoyertoutes les trames qui lui sont adressées sur un port défini depuis leréseau IP vers un machine définie.Cette fonction peut être, par exemple, une alternative à l’établissementd’un VPN.15.1 Route statiqueLa fonction « Route statique » permet à un routeur de prendre la décisionde router une trame IP même si l’adresse de destination n’appartient pasà un réseau décrit au menu connexion distante.Une route statique est un tableau qui décrit un réseau de destination (@IP & netmask) ainsi que l’adresse IP du routeur vers lequel il fauttransmettre les trames pour parvenir au réseau de destination « caché.Ce routeur peut être un routeur raccordé au réseau local ou bien unrouteur connecté à un réseau distant à travers un VPN (Seulement TLS).Page 56 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICEExemple :Network 4192.168.40.0/24Router 4Network 3192.168.30.0/24192.168.30.128Router 3192.168.30.1VPNRouter 2Network 2192.168.20.0/24192.168.10.1Network 1192.168.10.0/24IP networkVPNRouter 1192.168.10.128Route statique à programmer dans le routeur 1:Active Nom de la Destination Masque de PasserellerouteréseauOui Network 2 192.168.20.0 255.255.255.0 192.168.10.1Route statique à programmer dans le routeur 3:Active Nom de la Destination Masque de PasserellerouteréseauOui Network 4 192.168.40.0 255.255.255.0 192.168.30.128Oui Network 2 192.168.20.0 255.255.255.0 192.168.10.128Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 57

MISE EN SERVICEPour programmer une route statique,• sélectionner le menu « Routage » puis « Route statique » puis cliquer« Ajouter une route.Paramètre « Nom de la route » : Entrer un mnémonique pour désigner la route.Paramètres « Adresse IP de destination » & « netmask » :Entrer l’adresse IP du réseau de destination et le netmask de ce réseau.Paramètre « Passerelle » : Saisir l’adresse Ip du routeur par défaut.Page 58 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE16 Substitution d’adresses (NAT, Redirection de port, NAT avancé)Le routeur IPL-G12 offre différentes fonction de substitution d’adresses IP.Ces fonctions consistent à remplacer l’adresse IP et le port source oudestination de certaines trames IP traitées par le routeur.16.1 Translation d’adresse (NAT)Cette fonction s’applique uniquement lorsqu’une connexion est établie àl’initiative d’un équipement raccordé à l’interface LAN du routeur IPL-G12 en direction du réseau GSM.Elle consiste à remplacer l’adresse IP source (celle de l’équipement duLAN) par l’adresse IP WAN du routeur et à effectuer l’opération inversepour les trames de réponse.Cette fonction est utile lorsque les équipements du LAN doiventéchanger des trames avec un équipement de l’Internet.Pour activer la fonction NAT,• sélectionner le menu « Configuration » puis « Interface WAN », puis «Protocole IP ».• Cocher la case « Activer la translation d’adresse NAT ».16.2 Redirection de port16.2.1 PrincipeCette fonction s’applique uniquement lorsqu’une connexion est établie àl’intiative d’un équipement raccordé à l’interface WAN du routeur IPL-G12en direction du réseau LAN (réseau local raccordé au routeur IPL-G12).La redirection de port consiste à transférer vers une machine définie duréseau LAN, un trafic adressé au routeur IPL-G12 sur son interface GSM.Elle s’applique aux trames adressées au routeur IPL-G12 sur l’interfaceGSM.Le critère de « redirection » est le N° du port utilisé ; le mécanisme consiste à utiliser le N°de port de destination comme un complément d’adresse IP :Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 59

MISE EN SERVICEUne trame IP adressée sur l’interface WAN au routeur IPL-G12 sur unport déterminé P1 (ou un ensemble de ports) peut être redirigée vers unéquipement déterminé du réseau LAN.Le mécanisme de redirection de port décrit ci-dessus permet derésoudre le cas où un équipement appartenant au réseau WAN veutéchanger des trames IP avec une ou des équipements du réseau LANalors que les adresses du réseau LAN ne peuvent être transportéesdans le réseau WAN.La vraie solution à ce problème est d’établir un VPN ; mais lorsque cen’est pas possible la redirection de port apporte la solution.Exemple : Supposons qu’un équipement distant ait à communiquer avec unéquipement PLC1 sur le port TCP 102, un autre équipement PLC2 sur le port TCP 502et enfin un PC sur le port 80.INTERNETGSMPLC1 192.168.0.15TCP : 102PLC2 192.168.0.16TCP : 502PC 192.168.0.17TCP : 80Le plus simple serait d’établir un VPN ; si ce n’est pas possible, on peut programmer unerègle DNAT de translation d’adresse et de port de destination comme suit :Internet / WANLAN translationService Device ServiceTCP / 102 192.168.0.15 TCP / 102TCP / 502 192.168.0.16 TCP / 502TCP / 80 192.168.0.17 TCP / 8016.2.2 ConfigurationPour programmer une règle de redirection de port,• Sélectionner le menu « Système » puis « Internet », puis « Routage »• Sélectionner le N° de port de destination des trames à rediriger,• Sélectionner l’adresse IP et le N° de port de l’équipement vers lequelces trames doivent être redirigées.Page 60 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE16.3 Substitution généralisée d’adresses IP (NAT avancé)16.3.1 PrincipeLa fonction de substitution d’adresses IP consiste à modifier les adresses de source et /ou de destination ainsi que le N° de port des trames IP qui transitent par le routeur.Elle s’applique à toute trame IP reçue par le routeur aussi bien sur son interface LAN quesur son interface WAN hormis aux trames véhiculées dans une connexion d’utilisateurdistant PPTP ou TLS.Elle s’applique aux trames dont la destination est le routeur IPL-AD2 luimêmeaussi bien qu’aux trames dont la destination est un équipement duréseau relié directement ou non à l’interface WAN ou à l’interface LAN.On distinguela fonction DNAT qui consiste à remplacer l’adresse IP et le port de destination,la fonction SNAT qui consiste à remplacer l’adresse IP source.Puisque cette fonction consiste à modifier les adresses de source et / oude destination des trames IP qui transitent par le routeur, il est importantde préciser si le firewall traite des trames IP dont les adresses ont étédéjà substituées ou non.L’ordre dans lequel s’effectue la substitution modifie en effet la manièrede configurer les règles du filtre principal du firewall. Les traitements desubstitution s’effectuent comme suit :DirectionWAN vers le LANWANDNAT Routeur FIREWALL SNATLANLAN vers le WANWAN SNAT FIREWALL RouteurDNATLANLe fonction de substitution décrite ci-dessus (on dit aussi translation) estutile dans des cas très particuliers : Pour router des trames par un cheminRouteur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 61

MISE EN SERVICEde secours, par exemple, ou encore pour adapter un réseau ancien à unnouveau plan d’adresses IP (Mapping).16.3.2 ConfigurationPour mettre en œuvre la fonction NAT avancée,• sélectionner le menu « Routage » puis « NAT avancé ».Page 62 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

Pour créer une règle de substitution d’adresse de destination (DNAT),MISE EN SERVICE• cliquer sur le bouton « Ajouter une règle ». La fenêtre de créations’affiche :• Sélectionner Oui pour rendre la règle active.• Saisir les critères de substitution :Adr. IP sourceAdr. IP destinationProtocole (TCP, UDP, …)Port sourcePort destination• Saisir la nouvelle destination des trames répondant aux critères décritsci-dessus : Adr. IP et port de destination.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 63

MISE EN SERVICEPour créer une règle de substitution d’adresse source (SNAT),• cliquer sur le bouton « Ajouter une règle ». La fenêtre de créations’affiche/• Sélectionner « Oui » pour rendre la règle active.• Saisir les critères de substitution :Adr. IP sourceAdr. IP destinationProtocole (TCP, UDP, …)Port sourcePort destination• Saisir la nouvelle destination des trames répondant aux critères décritsci-dessus : Adr. IP source.Page 64 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE17 Connexion des utilisateurs distants (3G-GPRS-EDGE)17.1 PrincipesLe routeur IPL-G12 permet à un utilisateur distant de connecter son PCau réseau local avec un niveau de sécurité élevé en utilisant l’Internet.La connexion ne peut être établie que si une adresse publique,dynamique ou fixe, est attribuée au routeur IPL-G12 sur le réseau GSM.Si cette adresse est publique mais dynamique, il est possible d’utiliser leservice Dyn DNS.Si cette adresse est privée, la conexion RAS vers le routeur n’est paspossible. Dans ce cas, le service M2Me_Conenct constitue une bonnesolution.Le routeur IPL-G12 permet de mettre en œuvre des connexionsréellement sûres entre des PC distants d’une part et le réseau LANd’autre part :L’utilisateur distant est authentifié par un login, un mot de passe etéventuelement un certificat.Les données sont cryptées.Le domaine accessible à l’utilisateur distant est limité par le firewall.3 types de VPN sont proposés : PPTP, L2TP/IPSec et TLS/SSL.Une fois l’un de ces types de VPN sélectionné, il s’applique à tous lesutilisateurs.TLS/SSL est le type qui offre le plus de souplesse tout en garantissant unniveau de sécurité équivalent à L2TP/IPSec.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 65

MISE EN SERVICE17.2 Paramétrage d’une connexion distante de type TLSEtape 1 : Configuration du routeur• Sélectionner le menu« Système » puis« Securité » puis «VPN »,puis « paramètres VPN ».• A l’alinéa « Accèsdistant utilisateurs »,sélectionner le choix TLSpour assurer lacompatibilité avec le logicielM2Me_Secure.• Cliquer le bouton « Propriétés ».Paramètres « Numéro de port » et « protocoles » :Choisir le protocole de transport du VPN (UDP ou TCP) ; UDP estpréférable à TCP.Attention : Le numéro de port utilisé pour l’interconnexion de routeurs parVPN doit être différent du N° de port utilisé pour les connexionsd’utilisateurs distants.Paramètres « Authentification des utilisateurs» :Si l’on choisit la valeur « Login / mot de passe », l’authentification estréalisée à l’aide de ces deux codes uniquement.Si l’on choisit la valeur « Login / mot de passe et certificatnumérique», la sécurité est renforcée. Le PC distant est authentifié aumoyen du certificat enregistré dans le PC et l’utilisateur est identifié aumoyen du login et du mot de passe.Note : dans ce cas, le nom du certificat du PC de l’utilisateur devra êtreenregistré dans le routeur IPL-G12, dans la fiche de l’utilisateur.Paramètres « Algorithme de cryptage» et « Algorithme dehachage » :Page 66 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICELaisser les valeurs par défaut.Etape 2 : Configuration du logiciel M2Me_Secure du PCA bord du PC, nous conseillons d’utiliser le logiciel M2Me_Secure, leclient VPN TLS proposé par ETIC Telecom.Il fonctionne sous Windows XP et Seven 32 bits (Seven 64 en cours).• Cliquer l’icône « Menu » puis « Nouveau site ». La fenêtre deparamétrage du site apparaît.• Sélectionner l’onglet « Général », saisir le nom du site.• Sélectionner l’onglet « Connexion » ; cocher la case « Ce site estaccessible par Internet ».• Dans le champ « Nom d’hote ou adresse IP », saisir l’adresse IPpermettant d’atteindre le routeur.• Sélectionner l’onglet « Avancé » ; Choisir le protocole (UDP ou TCP),le N° du port et les algorithmes de cryptage et hachage.Ces paramètres doivent avoir la même valeur que ceux sélectionné dansle routeur.On se reportera à la notice du logiciel pour plus de détail.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 67

MISE EN SERVICE17.3 Paramétrage d’une connexion distante de type PPTPEtape 1 : Configurer le routeur• Sélectionner le menu« Système » puis« Securité » puis«VPN », puis« paramètres VPN ».• A l’alinéa « Accèsdistant utilisateurs »,sélectionner le choix« PPTP ».Etape 2 : Configurer la connexion PPTP dans le PCVoir procédure en annexe 2.Page 68 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE18 Connexion d’utilisateurs distants par le service M2Me_Connect18.1 PrésentationPrincipeIl arrive fréquemment que la connexion entre le PC et le routeur surl’Internet et le réseau 3G ou GPRS ne soit pas possible parce que ni lePC ni le routeur ne disposent d’adresses IP publiques, ou bien pourd’autres raisons techniques.Le service M2Me_Connect permet de résoudre la difficulté : Grâce àM2Me_Connect, le PC se connecte à la machine pour une opération demaintenance par exemple, même si , ni le PC ni le routeur ne possèdentd’adresse publique.FonctionnementL’utilisateur du PC enregistre dans son logiciel M2Me_Secure le nom ducertificat d’authentification du routeur IPL-G12.Lorsque l’utilisateur ouvre son logiciel M2Me_Secure, son PC établitautomatiquement une connexion sécurisée vers le serviceM2Me_Connect, Il s’authentifie sur le service.De son côté, le routeur fait de même dés qu’il est sous tension.Une fois connectés au service, et après authentification réciproque, le PCet le routeur établissent un VPN de bout en bout.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 69

MISE EN SERVICE18.2 Paramétrage d’une connexion au service M2Me_ConnectEtape 1 : Paramétrage du routeur• Sélectionner le menu « Internet » puis « Compte ».Paramètre « M2Me_Connect» :Sélectionner le choix « oui » pour activer la connexion au serviceM2Me_Connect.• Cliquer le bouton « Propriétés pour régler la connexion au serviceM2Me_Connect ».Paramètres « Port TCP et paramètres « Port UDP » :Cocher tous les ports UDP ou TCP que le routeur doit tester afin de tenterd’établir la connexion vers le service M2Me_Connect.Si un port UDP ou TCP unique a été autorisé, cocher la casecorrespondante ou bien saisir la valeur de ce N° de port TCP ou UDP.Note : L’utilisation du protocole UDP est préférable à TCP.• Si un serveur proxy filtre les connexions sortantes, cocher la case« Utiliser un serveur proxy » et saisir les paramètres de ce serveur :Paramètres « Serveur proxy » :Désélectionner la case à cocher « Utiliser un serveur proxy ».• Tester la connexionPour commander la connexion du routeur au service M2Me_Connect,cliquer le bouton « Connecter maintenant ».Pour vérifier que la connexion s’effectue normalement, sélectionner lemenu « Diagnostic » puis « Etat réseau » puis « M2Me ».Lorsque la connexion aboutit, le message « Connecté » s’affiche dans lechamp « Etat » ainsi que le N° de port et le protocole utilisé.• Désélectionner les ports inutilement sélectionnésSi trop de ports sont scannés par le routeur, le délai de connexion estaugmenté inutilementIl est donc conseilé de déselectionner tous les ports hormis celui qui apermis la connexion.Page 70 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICEEtape 2 : Paramétrage du logiciel M2Me_Secure du PC distant• Ouvrir le logiciel M2Me_Secure et saisir l’identificateur et le mot depasse de l’utilisateur (c’est celui qui sera ensuite contrôlé par le routeurpour identifier l’utilisateur du PC).• Pour créer la connexion avec le site du routeur, cliquer l’icône« Menu » puis « Nouveau site ».• Sélectionner l’onglet « Général », et saisir le nom du site du routeur(ce libellé n’a qu’un rôle mnémonique).• Sélectionner l’onglet « Connexion » ; cocher les cases « Ce site estaccessible par Internet » et « Ce site est visible à travers le serviceM2Me ».• Saisir le code appelé « Product key » ; on le trouve dans le menu« A propos » du routeur.Il s’agit du résumé du certificat d’authentification enregistré dans lerouteur en usine; il permet au PC de s’adresser au routeur lorsque l’un etl’autre sont connectés au service M2Me_Connect.19 Connexion d’utilisateurs distants (service GSM data)Cette fonction est fournie par le routeur IPL-G12B seulement.19.1 PrincipeSi le routeur a été paramétré pour l’usage du service GSM data, un PCdistant équipé d’un modem peut se connecter au routeur.Le PC distant doit être équipé d’un modem pour réseau téléphonique oud’un modem GSM.Le PC doit établir une connexion de type PPP avec le routeur.L’utilisateur distant doit déclarer son login et mot de passe qui sontcontrôlés par le routeur (voir liste d’utilisateurs).Le login par défaut est admin et le mot de passe admin.Une seconde connexion distante peut être établie en connectant au portRS232 du routeur un modem GSM ou pour réseau téléphonique.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 71

MISE EN SERVICERemarque :Le logiciel M2Me_Secure permet la mise en oeuvre simple de ce type deconnexion.19.2 Configuration d’un connexion utilisant le modem interne• Sélectionner le menu « Système » puis « Sécurité » puis « VPN »,puis « paramètres VPN ».• A l’alinéa « Accès distant utilisateurs », sélectionner le choix« Aucun ».19.3 Configuration d’une connexion utilisant le modem externe• Sélectionner le menu « Système » puis « Sécurité » puis «VPN », puis« paramètres VPN ».• A l’alinéa « Accès distant utilisateurs », sélectionner le choix« Aucun ».• Sélectionner le menu « Modem ».• A l’alinéa « Modem externe », cliquer « Activer » et « spécifier lachaîne d’utilisation du modem ».• Entrer la chaîne d’initialisation appropriée au modem externe.Page 72 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE20 Paramétrage de la liste d’utilisateurs20.1 PrésentationLa liste d’utilisateurs du routeur enregistre les utilisateurs autorisés à seconnecter et leurs paramètres (email…) et droits associés.Cette liste désigne les utilisateurs distants qui sont autorisés à accéderau réseau local à distance.Lorsqu’un utilisateur est connecté, tout se passe comme si son PC étaitraccordé directement sur le réseau local. Une adresse IP de ce réseauest automatiquement attribuée au PC distant. La seule restrictionconcerne les trafics broadcast et multicast qui sont bloqués, à l’exceptiondu trafic Netbios qui, lui, est autorisé.Le pare-feu (ou firewall) permet de limiter le domaine d’adresses IPaccessible à chaque utilisateur.Chaque ligne de la listed’utilisateurs comporte 2champs : Le nom del’utilisateur et le filtre depare-feu qui lui estaffecté.A la livraison, ellecomporte l’utilisateur« default user » dont lescaractéristiques sont lessuivantes :Nom d’utilisateur :adminMot de passe : adminRouteur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 73

MISE EN SERVICE20.2 Définir des utilisateursVisualiser ou modifier lafiche d’un utilisateur• Cliquer sur le bouton« Voir » ou bien sur« Modifier »Ajouter un utilisateur• Cliquer sur le bouton« ajouter un utilisateur ».Le paramètre « Actif » (valeur OUI ou NON) permet de retirertemporairement un utilisateur de la liste.Paramètre « Nom complet » :C’est le libellé qui apparaît dans le premier champ de la liste desutilisateurs autorisés. Il permet en particulier de garder la trace de chaqueconnexion de l’utilisateur dans le journal.Paramètres « Nom d’utilisateur » et « mot de passe » :Ce sont deux codes différents attribués à chaque utilisateur. Lorsqu’il se connecte àdistance, il doit saisir ces deux codes dans les champs correspondants de la fenêtre deCONNEXION DISTANTE.Le nom d’utilisateur n’a pas à être tenu secret ; il apparaît donc toujours en clair.Le mot de passe doit être gardé secret par chaque utilisateur ; il n’apparaît jamais en clair.Paramètre « e-mail » :Il sera utilisé par le routeur soit pour transmettre un e-mail d’alarme à lasuite du passage en défaut de l’entrée TOR, soit lorsque l’utilisateursouhaite se connecter par l’Internet ; dans ce cas, l’adresse IP publiquedu routeur peut lui être transmise par e-mail.Paramètre « Filtre pare-feu » :Sélectionner le filtre à appliquer à l’utilisateur pour limiter le domaineaccessible.Voir paragraphe Firewall.Page 74 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICEParamètre »Certificat » :Ce paramètre n’apparaît que si l’on a choisi un VPN L2TP/IPSec ouTLS/SSL avec authentification par Certificat numérique. Il décrit leschamps du certificat qui doivent être contrôlés par le routeur.21 Firewall21.1 PrésentationLe firewall (ou pare-feu) a pour but de filtrer les échanges de trames IPentre l’interface WAN (interface avec le réseau GSM) et l’interface LANpour protéger les équipements connectés au réseau LAN.Il comporte deux parties :• Le filtre principalIl permet de rejeter les tentatives de connexion non authentifiées surl’Internet hormisles connexions VPN,les trames IP adressées à l’interface GSM du routeur IPL-G12 et dontle N° de port est autorisé par une régle de « redirection de port(DNAT)».Les connexions d’utilisateurs distants authentifiés (PPTP, TLS,L2TP/IPSec, PPP).• Les filtres d’«Utilisateur distant »Ils permettent d’autoriser ou d’interdire l’accès à chaque équipementconnecté à l’interface LAN en fonction de l’identité de l’utilisateur distant(Login et mot de passe et éventuellement certificat) lorsqu’il se connecteau moyen de la connexion PPTP ou TLS.Par exemple, on peut attribuer à l’utilisateur de login « admin » et de motde passe « admin » un filtre bloquant toutes les trames issues de son PCsauf celle qui sont adressées à un équipement particulier de l’interfaceLAN.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 75

MISE EN SERVICE21.2 Filtres d’utilisateurs21.2.1 PrésentationLes filtres d’utilisateur s’appliquent aux trames IP circulant dans uneconnexion distante d’utilisateur (TLS ou PPTP ou L2TP/IPSec).On peut composer 25 filtres d’ utilisateur au maximum.Un filtre d’utilisateur est un ensemble d’adresses IP de destinationautorisées sur le réseau LAN.Exemple :Le filtre ci-dessous autorise l’accès à l’équipement PLC1 sur lesportsTCP/80 et TCP/502.Nom du filtre : Accès à l’automate en htmlPolitique du filtre : Tout ce qui n’est pas autorisé est interditAction Machine ServiceAutoriser PLC1 192.168.0.12 TCP / 80Autoriser PLC1 192.168.0.12 TCP / Modbus 502Chaque filtre doit être attribué à au moins un utilisateur pour être renduactif.Note importante :A la livraison du produit, un utilisateur par défaut est enregistré; son loginest « admin » et son mot de passe « admin ».Le filtre appelé « none » lui est affecté. Ce filtre autorise l’accès à tous leséquipements du réseau LAN.Page 76 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE21.2.2 Configuration des filtres utilisateursEtape 1 : Compléter la liste des services si nécessaireNote importante : de nombreux services sont créés en usine, tel quehtml, ftp etc…, si bien que dans la plupart des cas, cette étape peutêtre passée.• Sélectionner le menu « Configuration », « Système » puis « Liste desservices » ; la liste des services déjà enregistrés s’affiche.• Ajouter un nouveau service en cliquant le bouton « Ajouter unservice » en bas de l’écran.• Enregistrer un libellé (le nom que vous souhaitez donner au service),sélectionner un protocole dans la liste proposée (udp, tcp, icmp) etdésigner le N° de port attribué à ce service.• Valider. Le service qui vient d’être créé apparaît maintenant dans laliste des services.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 77

MISE EN SERVICEEtape 2 : Définir la liste des machines du réseau local• Sélectionner le menu « Configuration », « Système » puis « Listedes machines » ; la liste des machines déjà enregistrées s’affiche.• Ajouter une nouvelle machine en cliquant le bouton « Ajouter unemachine » en bas de l’écran.• Enregistrer un libellé (le nom que vous souhaitez donner à lamachine) et saisir son adresse IP.• Valider. La machine qui vient d’être définie apparaît maintenant dansla liste des machines.Remarque : Après cette étape, il est nécessaire de redémarrer le routeur.Etape 3 : Composer un filtre Utilisateur• Sélectionner le menu « sécurité » puis « pare-feu « puis « Filtres Utilisateurs» ; laliste des filtres déjà enregistrés s’affiche.• Créer un nouveau filtre en cliquant le bouton « Nouveau filtre ».Page 78 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

• Saisir un libellé (le nom que vous souhaitez donner au filtre) ;exemple de libellé : Accès au serveur web de l’automate N°1MISE EN SERVICE• Cliquer sur le bouton radio « On désigne ce que l'on autorise et tout le reste estinterdit» si vous souhaitez que chaque règle désigne ensuite une machineexplicitement autorisée ; c’est la solution prudente.• Cliquer sur le bouton radio « On désigne ce que l'on interdit et tout le reste estautorisé» si vous souhaitez que chaque règle désigne ensuite une machine interdite.• Cliquer sur le bouton « ajouter une règle » ; une ligne s’ajoute dans le tableau dufiltre.• Sélectionner une machine (autorisée ou interdite selon le cas) puis un service.• Ajouter autant de règles que nécessaire en cliquant sur « ajouter une règle ».Lorsque le filtre est complet, valider en cliquant le bouton OK puis sauvegarder. La listeactualisée des filtres s’affiche.Etape 4 : Affecter les filtres aux utilisateursUne fois la liste de filtres composée, il faut les rendre actifs en lesaffectant aux utilisateurs.• Sélectionner le menu «Configuration» puis « Utilisateurs ».Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 79

MISE EN SERVICE• Sélectionner l’utilisateur de la liste auquel vous souhaitez affecter unfiltre, en cliquant le bouton « Modifier » ; la fiche de l’utilisateurapparaît.• Lui affecter un filtre en sélectionnant l’un des filtres proposés etvalider par « OK ».• Sauvegarder la liste d’utilisateurs modifiée en cliquant « sauvegarderla liste ».Page 80 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE22 Configuration des passerelles série22.1 Présentation des types de passerellesLa passerelle série permet d’utiliser un réseau IP pour faire communiquerdes équipements série entre eux ou bien avec d’autres équipementsraccordés au réseau IP.• Communication entreéquipements à interface série• Communication avec uneapplication sur PC windows prévueinitialement pour dialoguer par laliaison série.Le logiciel d’émulation de portCOM Be-IP est une passerellesoftware qui permet d’utiliser surun réseau IP un logicield’application conçu initialementpour communiquer sur une liaisonsérie.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 81

MISE EN SERVICE• Communication avecapplication sur PC capabled’encapsuler un protocole sériedans UDP ou TCP (modbusTCP par exemple)Pour réaliser les fonctions décrites ci-dessus et s’adapter aux différentessituations qu’il est possible de rencontrer, différents types de passerellessont proposées :1 er type : Passerelle ModbusCe type de passerelle permet de raccorder à la liaison série unéquipement modbus maître, ou bien des équipements modbus esclavesou bien les deux, pour les faire communiquer avec d’autres équipementsmodbus TCP ou modbus asynchrones connectés au réseau IP.2eme type : Passerelle transparente point à pointCette passerelle est appelée RAW TCP client ou RAW TCP serveur ; ellepermet de relier un équipement asynchrone à un équipement du réseauIP.3eme type : Passerelle TelnetCette passerelle permet à un PC sur le réseau IP et équipé d’un logicielclient Telnet de se connecter à un équipement serveur Telnet raccordé àla liaison série du switch XSLAN.Le débit et le format de la liaison série peuvent être pilotés selon larecommandation RFC2217.Page 82 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE22.2 Passerelle ModbusLa passerelle Modbus permet de connecter des équipements sérieRS232-RS485 esclaves ou maître à un ou plusieurs équipementsmodbus TCP (clients ou serveurs selon le cas) connectés au réseau IP.22.2.1 DéfinitionsUn client TCP MODBUS est un équipement connecté au réseau IP etcapable de transmettre une requête Modbus (par ex. une demande delecture ou d’écriture) à un autre équipement du réseau appelé serveurTCP MODBUS qui lui répondra.Le client est l’équivalant d’un maître Modbus, mais plusieurs clientspeuvent poser des questions au même serveur.Un serveur TCP MODBUS est un équipement connecté au réseau IP etcapable de répondre à une requête Modbus posée par un autreéquipement du réseau appelé client TCP MODBUS.Le serveur est l’équivalant d’un esclave Modbus ; mais un serveur peutrépondre à plusieurs client.Un maître Modbus est un équipement connecté à la liaison série RS232ou RS485 et capable de poser une requête Modbus à un autreéquipement du réseau appelé esclave MODBUS.Un esclave Modbus est un équipement connecté à la liaison sérieRS232 ou RS485 et capable de poser une question Modbus à un autreéquipement du réseau qui est appelé esclave MODBUS.Adresse Modbus : Elle code entre 0 et 255 le destinataire d’une requêtemodbus adressée à un serveur modbus (réseau IP) ou à un esclavemodbus (liaison série).Attention : Ne pas confondre adresse modbus et adresse IP.Pour plus de concision le mot « adresse » est souvent remplacé par lesigne @ dans la suite du texte.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 83

MISE EN SERVICE22.2.2 Choix de la passerelle Client ou de la passerelle Serveur• Pour connecter des équipements «série» esclaves modbus à un ouplusieurs équipements TCP modbus client, sélectionner le menupasserelle « Modbus serveur ».• Pour connecter un équipement «série» maître modbus à un ouplusieurs équipements TCP modbus serveur, sélectionner le menupasserelle « Modbus client ».22.2.3 Passerelle modbus clientLa passerelle modbus clientpermet la connexion d’un maîtremodbus sur la liaison série.Plusieurs serveurs TCP modbuspeuvent être adressés sur leréseau iP.D’autres esclaves peuvent êtreconnectés à la liaison série.Principe de la passerelle modbus Client :Pour adresser un serveur TCP modbus sur le réseau IP, on configure unetable de correspondance entre une @ modbus esclave et une @ IP ;ainsi, lorsque le maître modbus transmet une requête à destination del’esclave d’@ modbus A, le tableau de correspondance permet detransmettre cette requête à l’@ IP correspondant à l’@ A .De plus, le champ adresse modbus de la trame modbus TCP prend lavaleur A.Le tableau de correspondance peut comporter 32 lignes permettant ainsià un maître modbus d’adresser 32 serveurs sur le réseau IP.Page 84 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICEConfiguration de la passerelle modbus Client :• Sélectionner le menu « Passerelle IP-RS », puis cliquer le menu« Modbus » puis « Modbus client ».• Cocher « activer la passerelle ».Paramètre « Sélection du port » :Choisir la liaison série 1 ou 2 du routeur.Bouton « COM » :Permet de configurer les paramètres débit et format de la liaison série.Protocole Modbus :Sélectionner RTU (hexadécimal) ou ASCII selon le besoin.Temps inter caractères :Fixe le temps maximum admissible entre caractères des réponses del’esclave modbus.Timeout d'inactivité sur TCP :Fixe le temps au bout duquel la liaison TCP est rompue en cas d’absencede requêtes modbus reçues du réseau IP.Numéro du port TCP :Fixe le N° du port TCP à utiliser. Le N° de port modbus par défaut est502.Tableau de correspondance :Le tableau de correspondance permet de faire correspondre une adressed’esclave modbus et une adresse IP.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 85

MISE EN SERVICE22.2.4 Passerelle modbus serveurLa passerelle permet la connexiond’esclaves modbus sur la liaisonsérie.32 esclaves, au maximum, peuventêtre connectés au port RS485.Principe de la passerelle Modbus serveur :Un client TCP modbus adresse une requête TCP modbus à lapasserelle ;La passerelle se comporte en maître sur la liaison série.Elle « répète » la requête sur la liaison série ; l’adresse de la requêteémise sur la liaison série est,• soit l’adresse contenue dans le champ d’adresse modbus TCP, dansce cas, plusieurs esclaves peuvent être adressés sur la liaison série :Page 86 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE• soit une adresse fixe configurée dans la passerelle (voir ci-dessous) ;dans cas, un seul esclave peut être adressé sur la liaison série :Attention : Plusieurs client TCP modbus peuvent adresser des requêtesaux esclaves de la liaison série. Néanmoins, on prendra garde à ne passaturer la liaison série puisque son débit est bien inférieur à celuid’ethernet.Configuration de la passerelle Modbus serveur :• Sélectionner le menu « Passerelle IP-RS », puis cliquer sur« Modbus », puis « Modbus serveur ».• Cocher « activer la passerelle ».Paramètre « Sélection du port » :Choisir la liaison série 1 ou 2 du routeur.Bouton « COM » :Permet de configurer les paramètres débit et format de la liaison série.Protocole Modbus :Sélectionner RTU (hexadécimal) ou ASCII selon le besoin.Activer la fonction proxi-cache :Si cette fonction est active, une requête n’est adressée à un esclave quesi la même requête ne lui a pas été adressée depuis le temps fixé par leparamètre « rafraîchissement du cache.Rafraîchissement du cache :Fixe le délai minimum entre deux requêtes identiques adressées aumême esclave.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 87

MISE EN SERVICETemps d’attente réponse esclave :C’est le délai d’attente de réponse à la requête adressée à un esclave.Nombre de réitérations :Fixe le nombre de réitérations d’une requête modbus par le routeur encas de non réponse de l’esclave modbus.Temps inter caractères :Fixe le temps maximum admissible entre caractères des réponses del’esclave modbus.Adresse esclave Modbus :Si la valeur « spécifiée par le client modbus » est sélectionnée, lapasserelle utilise l’adresse modbus spécifiée par le client modbus pouradresser l’esclave modbus de la liaison série ; on peut ainsi adresserjusqu’à 32 esclaves de la liaison série.Si l’on sélectionne une valeur particulière (entre 1 et 255), la passerelleadresse toutes les requêtes au N° d’esclave sélectionné ; on ne peutinterroger qu’un seul esclave sur la liaison série.Time out d'inactivité sur TCP :Fixe le temps au bout duquel la liaison TCP est rompue en cas d’absencede requêtes modbus reçues du réseau IP.Numéro du port TCP :Fixe le N° du port TCP à utiliser ; le port par défaut est 502.Page 88 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE22.3 Passerelle « TCP RAW »22.3.1 Passerelle « TCP RAW » clientElle permet de raccorder un équipement se comportant en « maître » surla liaison RS232 / RS485Configuration :• Cliquer le menu « passerelle » puis« Transparent ». Puis « rawclient»• Cocher « activer la passerelle ».Paramètre « Taille du buffer de réception RS232/485» (valeur 1 à1024) :Fixe la taille maximum, en octets, d’un bloc transmis vers le réseau IP.Paramètre « Timeout fin de trame RS232/485» (valeur 10 à 500 ms) :Fixe délai de silence maximum après lequel le buffer de caractères reçusde la liaison RS232-RS485 est transmis vers le réseau IP.Paramètre « Timeout d'inactivité sur socket TCP» (valeur 0 à 5 mn) :Fixe le temps au bout duquel la liaison TCP est rompue en cas d’absencede caractères reçus du réseau IP ou de la liaison série.Paramètre « Numéro du port TCP » :Fixe le N° du port TCP à utiliser.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 89

MISE EN SERVICEParamètre « Adresse IP du serveur Raw TCP » :Fixe l’adresse IP à laquelle sont transmis les caractères reçus de laRS232 / RS485 (c’est l’adresse du serveur RAW).).22.3.2 Passerelle « RAW TCP serveur »Elle permet de raccorder des équipements « esclaves » sur la liaison RS232-RS485.L’équipement de la liaison série peut ainsi communiquer avec un PC Cient RAW TCP.La passerelle « RAW TCP serveur » peut en particulier être utilisée avecprofit en association avec le logiciel Be IP d’etic dans le cas où il faut fairecommuniquer par un réseau IPConfiguration de la passerelle RAW serveur :• Cliquer le menu « passerelle » puis« Transparent ». Puis « rawserveur»• Cocher « activer la passerelle » puis régler les paramètres :Paramètre « Taille du buffer de réception RS232/485» (valeur 1 à1024) :Fixe la taille maximum, en octets, d’un bloc transmis vers le réseau IP.Paramètre « Timeout fin de trame RS232/485» (valeur 10 à 500 ms) :Fixe délai de silence maximum après lequel le buffer de caractères reçusde la liaison RS232-RS485 est transmis vers le réseau IP.Page 90 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICEParamètre « Timeout d'inactivité sur socket TCP» (valeur 0 à 5 mn) :Fixe le temps au bout duquel la liaison TCP est rompue en cas d’absencede caractères reçus du réseau IP ou de la liaison série.Paramètre « Numéro du port TCP » :Saisir le N° du port TCP à utiliser.22.4 Passerelle “Multicast”22.4.1 PrésentationCette passerelle est également destinée à relier un équipementasynchrone à un ensemble d’équipements du réseau IP.Elle utilise le protocole « Multicast » qui permet de délivrer simultanémentune trame IP à de nombreux destinataires sans accroître le trafic : Lesdonnées RS232 sont transmises dans une trame IP adressée à uneadresse IP particulière appelée adresse multicast ; tous les abonnés àcette adresse décodent la trame.A titre d’exemple, on peut utiliser la passerelle multicast dans les cas suivants :Un équipement maître, connecté sur une liaison série, doit émettre des requêtes vers deséquipements serveurs sur le réseau IP ou vers d’autres équipements série esclaves.Un équipement client ( ou « maître ») connecté au réseau IP doit émettre des requêtesvers des équipements serveurs du réseau IP ou des équipements esclaves connecté àune liaison série.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 91

MISE EN SERVICEL’IANA (Internet Assigned Numbers Authority) attribue les adresses iPmulticast.L’espace d’adresses 224.0.1.0 à 238.255.255.255 est fait pour la diffusionentre organisation ou sur l’Internet.L’espace d’adresses 239.0.0.0 à 239.255.255.255 est fait pour ladiffusion à l’intérieur de réseaux privés.Note Les adresses ci-dessus sont les adresses de destination ;l’adresse source est toujours l’adresse unicast du produit.22.4.2 Configuration• Sélectionner le menu « Transparent » puis « multicast »• Cocher « activer » puis régler les paramètres ci-dessous :Paramètre « Taille du buffer de réception RS232/485» (valeur 1 à 1024) :Fixe la taille maximum, en octets, d’un bloc transmis vers le réseau IP.Paramètre « Timeout fin de trame RS232/485» (valeur 10 à 500 ms) :Fixe délai de silence maximum après lequel le buffer de caractères reçusde la liaison RS232-RS485 est transmis vers le réseau IP.Paramètres « Port UDP pour la réception » et « Port UDP pour l’émission » :Fixe les N° de port UDP à utiliser. Par défaut la passerelle émet et écoutesur le même numéro de port UDP. Il peut être souhaitable de choisir desports différents pour l’émission et la réception. Par exemple dans uneapplication maître-esclaves, ceci permettra aux différents esclaves de nerecevoir que les trames venant du maître.Attention : Si deux passerelles du même type sont actives sur les deuxports série, elles ne peuvent pas utiliser le même N° de port UDP.Paramètre « Adresse IP du groupe multicast » :Saisir l’adresse IP attribué au groupe de diffusion (multicast) en respectant lesrègles de l’’IANA .Page 92 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE22.5 Passerelle UnitelwayLa passerelle Unitelwaypermet de connecter unautomate série maîtreunitelway à un réseau IP.Elle permet en particulier deréaliser la fonction detélémaintenance d’automatesSchneider Electric RS485 viaun réseau IP.• Cliquer le menu Unitelway• Cocher « activer la passerelle ».Désigner l’adresse Xway de l’automate maître et celle desautomates esclaves éventuellement raccordés à l’interface RS485.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 93

MISE EN SERVICE23 Fonctions avancées23.1 Ajouter un certificatCe menu permet de gérer les certificats X509 utilisés pour les connexionsVPN. Chaque produit contient déjà un certificat délivré par ETIC. On peutvouloir cependant utilisé un autre certificat délivré par une autre autoritéde certification. Ce certificat peut être introduit soit en format PKCS#12avec mot de passe ou en en format PEM.Un seul certificat peut être actif à la fois.Attention : Pour pouvoir établir une connexion VPN, les certificats desdeux routeurs doivent avoir été délivrés par la même autorité decertification.23.2 Alarmes SNMPLe routeur dispose d’un agent SNMP qui supporte la MIB-II standard etl’envoi de TRAP sous certaines conditions.Activer :Si cette case est cochée l’agent SNMP est lancé.Adresse IP de la plate-forme d’administration :Ce paramètre détermine vers quelle adresse IP les TRAP SNMP vontêtre envoyés.Valeur de la variable SysName et SysLocation :Ces deux variables sont des champs standard et permettent d’identifierd’ou provient le TRAP sur la plate-forme d’administration SNMP.Envoi de TRAP sur événement :Ces boites à cocher déterminent quel événement et quel TRAP estenvoyé suite à cet événement.Page 94 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICE23.3 Alarme sur changement d’état des entrées TORLorsque l’une des entrées TOR du routeur IPL-G12 change d’état, unealarme peut être envoyée, sous forme d’un e-mail (et donc d’un SMS).• Sélectioner le menu « Alarme email », puis « Entrée 1 » ou « Entrée2 » ou « Entrée 3 ».Paramètre « Activer l'alarme par email » :Si cette case est cochée, une alarme par e-mail est émise lorsque l’entréeTOR change d’état.Paramètre « Source de l'alarme » :Ce paramètre permet de déterminer le ou les changements d’état quiprovoquent l’alarme : passage à l’état ON (fermé), ou à l’état OFF ou bienles deux.Paramètre « Temps de maintien de l'état avant alarme » :Ce paramètre permet de fixer la durée minimale durant laquelle l’étatd’alarme doit être maintenu pour provoquer l’envoi de l’e-mail d’alarme (1à 60 secondes).Paramètre « Destinataire de l'alarme » :Ce paramètre permet de choisir le destinataire de l’alarme parmi la listedes utilisateurs autorisés.Note :On peut souhaiter recevoir l’alarme sous forme d’un message SMS surun téléphone mobile. Ceci est possible en adressant l’e-mail d’alarmevers une adresse mail ouverte chez l’opérateur GSM qui le route ensuitevers le mobile associé. Les opérateurs GSM offrent cette fonction. Onconsultera notre service hotline pour la mise en œuvre.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 95

MISE EN SERVICE23.4 Activer le portail webPar défaut, lorsque l’on accède au service http (port 80) du routeur onarrive sur le serveur d’administration. Il est possible de créer un portailweb contenant une liste de machine que l’on peut joindre d’un simple clic.Ce portail web se substitue au serveur d’administration qui resteaccessible par le port 8080.La liste des machines permet ensuite de construire les filtres du pare-feupour les connexions des utilisateurs distants et de constituer le « portail »qui peut être affiché comme page d’accueil de l’utilisateur distant.Sélectionner le menu « Systeme » cliquer sur « Liste des machines»Page 96 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICENom du site :Le nom du site est le libellé qui s’affiche en haut à droite de toutes lespages du serveur d’administration et du portail.Afficher le portail web :Si cette case est cochée, le portail sera affiché à la place du serveurd’administration.Tableau de liste des machinesPour ajouter une machine à la liste,• Cliquer le bouton « Ajouter une machine » en bas de l’écran.• Enregistrer un libellé (le nom que vous souhaitez donner à lamachine) et son adresse IP.• Valider. La machine qui vient d’être créée apparaît maintenantdans la liste des machines. Elle sera affichée dans la page« portail ».Pour supprimer une machine de la liste,• Assurez-vous au préalable que la machine à supprimern’intervient pas dans une règle de firewall ; si la machine intervientdans une règle de firewall, et que le filtre a en plus été affecté à unou plusieurs utilisateurs, retirer d’abord ce filtre aux utilisateurs enRouteur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 97

MISE EN SERVICEaccédant à la fiche de chacun d’entre eux, puis ensuite supprimer oumodifier le filtre ; alors seulement, il devient possible de supprimerune machine.• Cliquer le bouton « Suppr. »• Valider ; la machine ne fait plus partie de la liste des machines.23.5 Configurer le serveur DNSPour la résolution des noms de domaines, le routeur IPL se comportecomme un serveur et un relais DNS. Cette fonction est toujours active.Fonction Relais DNS :Le routeur IPL-G12 se comporte comme un relais DNS : Toute requêteDNS qui lui est adressée sur le réseau local sera ré-émise vers le serveurDNS du FAI.Cette fonction est pratique par exemple pour l’envoi d’email depuis unemachine. Si les adresses des serveurs DNS du FAI sont obtenusautomatiquement à la connexion Internet du routeur, elles ne sont pasconnues des machines. Dans ce cas on désigne dans ces machinesl’adresse du routeur IPL comme serveur DNS.Fonction Serveur DNS :Le routeur IPL se comporte comme serveur DNS pour tous les noms DNSqui ont été définis. Pour définir un nom DNS, il suffit de définir unemachine dans la liste des machines.Sélectionner le menu « Systeme » cliquer sur « Liste des machines»Page 98 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MISE EN SERVICELa liste des machines permet aussi de construire les filtres utilisateur dupare-feu pour les connexions des utilisateurs distants et de constituer le« portail » qui peut être affiché comme page d’accueil de l’utilisateurdistant.Nom de domaine du site :Le nom de domaine est le suffixe DNS que l’on peut saisir pour accéder àune machine.Par exemple, si l’on désigne une machine par le libellé « assemblage »et que l’on a saisi « grenoble » pour nom de domaine du site, on peutaccéder aux services web de cette machine (en local ou à distance àtravers un VPN) en tapant « assemblage.grenoble » dans le masque desaisie d’adresse du navigateur html.Tableau de liste des machines :Pour ajouter ou supprimer une machine à la liste, voir § Activer le portailweb.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 99

MISE EN SERVICEPage 100 Notice d’utilisation ref 9016509-02Routeur 3G GPRS EDGE ref. IPL-G12

MAINTENANCE1 Diagnostic visuel de défaut de fonctionnementAprès la mise sous tension, le voyant SERVICE clignote durant 30secondes environ pendant la phase d’initialisation du routeurAprès ce délai, le voyant passe au vert lorsque le produit est prêt àfonctionner.Si le voyant continue de clignoter, c’est probablement que la carte SIMn’a pas été insérée ou bien que son code PIN n’a pas été désactivé.2 Sauvegarde et chargement d’un fichier de paramètresUne fois configuré, le paramétrage peut être sauvegardé sous forme d’unfichier qui peut ensuite être restitué pour faciliter un redémarrage en casde remplacement du produit par exemple.Pour sauvegarder un fichier de paramètres,sélectionner le menu « Système » puis « Sauvegarde / restauration ».Cliquer le bouton « Sauvegarder » puis « Enregistrer » quand la fenêtreapparaît.Désigner le nom du fichier et l’emplacement de la sauvegarde.Le fichier a le suffixe .bin.Pour restaurer un fichier de paramètres sauvegardésélectionner le menu « Système » puis « Sauvegarde / restauration ».Cliquer le bouton « Parcourir » puis sélectionner le fichier (XXX.bin) àrestituer.Cliquer le bouton « Charger » puis confirmer pour redémarrer le produit.Attention : Un fichier de paramètres ne peut être restauré que dans unproduit possédant la même version de firmware que celle avec laquelle lefichier de paramètres a été produit initialement.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 101

MAINTENANCE3 Mise à jour du firmwareElle s’effectue en local par la prise Ethernet ou bien, éventuellement, àdistance.Etape 1 : Préparation des équipements• Préparer un PC et un câble Ethernet.• Télécharger le logiciel FTP serveur depuis notre site de maintenance(contacter notre service client).Etape 2 : Téléchargement du firmware• Télécharger le firmware depuis notre serveur de maintenance vers lePC et décompresser.Etape 3 : Préparation de la mise à jour :• Vérifier que les adresses IP du PC et du produit à mettre à jour sontcompatibles.• Connecter le PC au produit par la prise Ethernet.• Lancer le logiciel TFTP serveur (tftp32.exe) et sélectionner sur ledisque du PC, le dossier où est enregistré le firmware.• Dans le logiciel TFTP, cliquer le bouton "Show dir" pour visualiser lesfichiers du firmware (jffs2root, rfsmini.tgz, u-boot.bin et uImage).Etape 4 : Mise à jour du firmware• Lancer le navigateur html et entrer l’adresse du produit à mettre à jour.La page d’accueil du serveur html du produit ETIC s’affiche.• Sélectionner le menu « Systeme » puis « Mise à jour ».• Dans le champ « adresse IP du serveur TFTP », entrer l’adresse IPdu PC ; elle est inscrite dans le masque "Server Interface" du logicielTFTP.• Cliquer sur « Enregistrer » puis sur « Mise à jour ».Le chargement s’effectue et la led «Service» clignote.A la fin du chargement, le produit s’initialise ; la led «Service» clignote enrouge.• Vérifier que la mise à jour a été chargée en contrôlant le N° de versiondans le menu « A propos ».Page 102 Notice d’utilisation ref 9016509-02 Routeur 3G GPRS EDGE ref. IPL-G12

MAINTENANCE4 Menu DiagnosticJournal des connexions :Sélectionner la page le menu « Diagnostic » puis « Journal »Le journal permet de visualiser l’enregistrement horodaté des connexionsà distance et des connexions au serveur d’administration.Il peut être imprimé.Contrôle de la connexion au réseau local :Sélectionner le menu « Diagnostic » puis « Etat réseau » puis « Status ».Le paragraphe « Etat du LAN » indique l’adresse MAC, l’adresse IP et ledébit courant sur le réseau local.Contrôle de la Connexion GSM :Sélectionner le menu « Diagnostic » puis « Etat réseau » puis « Status ».Le paragraphe « Connexion modem» donne l’état courant de laconnexion GSM : Débit et @IP de l’interface avec le réseau GSM.Diagnostic des connexions VPN :Sélectionner le menu « Diagnostic » puis « Etat réseau » puis« Connexions VPN».Cette page donne la liste et les paramètres techniques des connexionsVPN entrantes, sortantes et d’utilisateurs qui sont établies.Diagnostic de défaut de fonctionnement d’une passerelle série :Sélectionner le menu “Diagnostic”, puis “Etat des passerelles”.Cette page permet d’afficher l’état courant du paramétrage despasserelles, le nombre d’octets et de trames échangées et le nombre detrames en erreur.Le lien “visualiser” permet d’afficher en hexadecimal les trames reçues ettransmises sur la liaison série.Etat des interrupteurs :Cette page affiche l’état présent des micro switches situés sur la faceRouteur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 103

MAINTENANCEsupérieure du serveur RAS.Ping :Cette page permet de commander l’émission d’une trame « ping » versune machine du réseau raccordé au routeur.Syslog :Page 104 Notice d’utilisation ref 9016509-02Routeur 3G GPRS EDGE ref. IPL-G12

UTILISATIONOn décrit ci-dessous quelques scénarios de connexion d’utilisateursdistants.1 Connexion par Internet au moyen du service M2Me_ConnectLe service M2Me_Connect est un service de médiation décrit auparagraphe XX.On décrit la procédure que doit accomplir l’utilisateur d’un PC isolé ouconnecté à un réseau IP pour se connecter à distance au réseau demachines en utilisant le service M2Me_Connect.• Ouvrir le logiciel M2Me_Secure et entrer l’identificateur et le motde passe d’utilisateur.S’il n’a pas été prévu que l’authentification du PC sur le serviceM2Me_Connect s’effectue automatiquement dés l’ouverture du logiciel,sélectionner l’icône « Menu » puis « Authentifier sur M2Me ».Patienter quelques secondes jusqu’à ce que le message « Votre PC estauthentifié sur le service M2Me» s’affiche dans la barre de contrôle enbas de la fenêtre M2Me.La liste des site s’affiche ; ceux qui sont actuellement connectés sur leservice M2Me_Connect sont précédés d’un voyant vert ou d’unecaractère « e » de couleur verte.• Sélectionner le site et cliquer le bouton « Accéder au site parInternet ».La fenêtre « Connexion en cours » s’affiche ; puis, quelques secondesaprès, le message « La connexion avec le site est établie ».Une figurine s’affiche à côté du nom site pour indiquer que le PC estconnecté.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 105

UTILISATIONLe PC est téléporté sur le réseau distant. Une adresse IP de ce réseau luia automatiquement été attribué.2 Connexion VPN au moyen du logiciel M2Me_SecureOn décrit ci-dessous la procédure que doit suivre l’utilisateur d’un PCisolé ou en réseau équipé du logiciel M2Me_Secure fourni par ETICTelecom pour se connecter à distance à un réseau de machines.• Ouvrir le logiciel M2Me_Secure et entrer l’identificateur et le mot depasse d’utilisateur (admin et admin à la livraison).• Sélectionner le site et cliquer le bouton de connexion dont la légendeest « Accéder au site par Internet ».La fenêtre « Connexion en cours » s’affiche ; puis, quelques secondesaprès, le message « La connexion avec le site est établie ».Une figurine s’affiche à côté du nom de site pour indiquer que le PCest connecté.Le PC est téléporté sur le réseau distant. Une adresse IP de ce réseau luia automatiquement été attribué.Note : Pour saisir l’adresse IP ou bien le nom de domaine ou le nom dedomaine DynDNS de destination, cliquer droit sur la ligne du site, puissélectionner l’onglet Connexion, cocher la case « Ce site est accessiblepar Internet » et saisir l’adresse de destination ou le nom de domainedans le champ « nom d’hote ou adresse IP ».Page 106 Notice d’utilisation ref 9016509-02Routeur 3G GPRS EDGE IPL-G12

UTILISATION3 Visualisation des entrées et télécommande de la sortieL’état des trois entrées peut être visualisé à partir du serveur web.Il est également possible d etélécommander la sortie.Pour visualiser l’état des entrées ou télécommander la sortie,• Sélectionner le menu « Diagnostic » puis « Contrôle des E/S ».Routeur 3G GPRS EDGE IPL-G12 Notice d’utilisation ref. 9016509-02 Page 107

ANNEXE 1Arborescence du serveur d’administrationSystèmeProtocole IPEnregistrer l’@ IP attribuée au routeur IPL.Enregistrer l’@IP attribuée à l’utilisateur distant.Ports Ethernet Définir le fonctionnement des ports Ethernet .Liste des utilisateursListe des machinesListe des servicesDate et heureAlimentationsMise à jourSauvegarde / restaurationRedémarrerRoutageNoeuds distantsRoutes statiquesVRRPNAT avancéEnregistrer la liste d’utilisateurs autorisés et leur attribuer desdroits (voir pare-feu).Enregistrer les machines IP auxquelles s’appliquera lefire-wall et constituer le « portail » d’accueil.Visualiser, sélectionner, modifier la liste des protocoles etports TCP/UDPMettre à jour la date et l’heure.Réglage du seuil de défaut des alimentations.Charger un nouveau logiciel dans le produit.Sauvegarder la configuration du produit dans un fichier duPC, ou au contraire, la charger dans le produit.Initialiser le routeur IPL lorsque les modifications duparamétrage rendent cette opération nécessaire.Définir les caractéristiques des routeurs avec lesquels unVPN sera établi.Pour les routeurs non accessibles directement, définir lapasserelle permettant d’y accéder.Placer deux routeurs IPL-G12 en redondanceEnregistrer les règles de substitutiion d’adresses.SécuritéDroits d’administration Protéger et limiter l’accès au serveur d’administration.Pare-feuCertificatsConstituer les filtres qui limitent l’accès aux machines etapplications (ports) du réseau local.Ajouter / supprimer un certificat numérique.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 109

ANNEXE 1Arborescence du serveur d’administrationInternetCompteRoutageTélécommande@IP dynamiqueAlarmesEntrée 1, 2, 3Enregistrer les paramètres d’abonnement GSMActiver le service M2Me_ConnectEnregistrer le compte mailEnregistrer des paramètres techniquesEnregistrer les règles de Redirection de port (DNAT)Fixer les conditions de connexion à l’Internet.Déterminer les conditions d’envoi de l’@IP publique duRouteur vers le distantDéterminer les conditions de l’envoi d’un email, ledestinataire et le contenu.Passerelle IP - RSModbusUnitelwayTransparentConfiguration des passerelles modbus..Configuration de la passerelle unitelway.Configuration des passerelles RAW TCP, Telnet et multicastDiagnosticJournalEtat du réseauEtat des passerellesEtat des interrupteursTable de routagePingContrôle des E/SVisualiser la liste horodatée des événements : connexionsinter-sites, utilisateurs qui se sont connectés à distance, …Afficher l’état actuel du produit : @ MAC, @IP, ADSL, VPNEtat et diagnostic des passerelles liaison sérieAfficher l’état actuel des DIP switches.Afficher la table de routage interneTester le fonctionnement du système.Visualiser l’état des ETOR ; commander la STOR.SyslogEnvironnementVisualiser le niveau des alimentations électriquesA proposAfficher les informations d‘identification du produit.Page 110 Notice d’utilisation ref 9016509-02Routeur 3G GPRS EDGE ref. IPL-G12

ANNEXE 2Créer une connexion VPN de type PPPT pour Internet sous XPUne connexion PPPT permet de connecter un PC isolé ou en réseauau routeur par l’internet.Pour créer une connexion PPPT,• Cliquer Démarrer, puis Connexions, puis afficher toutes lesconnexions.• Sélectionner « Créer une nouvelle connexion », puis « Connexion auréseau d’entreprise » puis « Connexion réseau privé virtuel », puis « nepas établir la connexion initiale.• Dans le champ Nom d’hôte ou adresse IP, saisir le nom de domaineDynDNS (par exemple, etic_ras.dyndns.org• Donner un nom à la connexion (par exemple, connexion pptp), puiscliquer « Terminer ».La fenêtre de la connexion apparaît ; cliquer « Propriétés » puissélectionner l’onglet « Gestion de réseau ».• Dans le champ « Type de réseau VPN, faire le choix « PPTP » puiscliquer OK pour sauvegarder.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 111

ANNEXE 3Modifier la connexion Ethernet IP du PCPour effectuer la première configuration du routeur, il faut connecterle PC la prise Ethernet du PC à celle du routeur et attribuer au PC uneadresse IP compatible avec celle qui est programmée dans le routeur à lalivraison.Pour modifier l’adresse IP du PC,• Ouvrir le panneau de configuration• Ouvrir le dossier connexion réseau et accès à distance• Cliquer droit sur la connexion au réseau local existante puis« propriétés »• Sélectionner Protocole internet (TCP/IP)• Cliquer sur PropriétésRouteur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 113

ANNEXE 3Modifier la connexion Ethernet IP du PC• Cliquer sur « utiliser l’adresse IP suivante » .• Attribuer au PC une adresse IP et un masque de réseau compatiblede l’adresse IP affectée au serveur d’administration du routeur.Note : L’adresse « Usine » du routeur est 192.168.0.128 ; pour lapremière configuration, on pourra affecter au PC l’adresse IP192.168.0.127.Page 114 Notice d’utilisation ref 9016509-02Routeur 3G GPRS EDGE ref. IPL-G12

ANNEXE 4La technique des VPN1 La fonction des VPNVPN est l’acronyme de « virtual private network » ; réseau privé virtuel enfrançais. Le VPN est une technique qui permet d’interconnecter deuxréseaux IP à travers l’internet en offrant une sécurité maximale.Un VPN est établi entre deux routeurs des réseaux à relier. Une fois leVPN établi, chaque machine du premier réseau peut communiquer avecchaque machine de l’autre comme si les deux réseaux étaientvirtuellement connectés l’un à l’autre, et avec la sécurité maximale.L’interconnexion de sites à travers Internet s’effectue au moyen detunnels VPN (virtual private network) sécurisés. Lorsqu’un VPN est établientre deux routeurs IPL, c’est comme si ces deux routeurs étaient reliésdirectement par un câble ethernet.VPNInternetLa technique du VPN permet aussi de relier le PC isolé d’un utilisateurdistant au routeur d’un réseau de machines.VPNInternet2 Fonctions assurées par un VPNUn VPN réalise les fonctions suivantes :Authentification réciproque :Chaque routeur est titulaire d’un code appelé clé ou bien certificat ; à laconnexion, l’échange des clés permet à chaque routeur de s’assurer del’identité de son homologue.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 115

ANNEXE 4La technique des VPNIntégrité des donnéesLe VPN garantit que toutes les données reçues sont conformes à ce quel’homologue à transmis.DiscrétionLes clés permettent également de crypter les donnés pour assurer ladiscrétion de la transmission ; un observateur sur l’internet ne peut lesdécoder s’il ne possède pas la clé.3 Les clésChaque extrémité enregistre une clé qui permettra à la fois le cryptage, ledécryptage, la vérification de l’intégrité et l’authentification des parties.Deux type de clé peuvent être utilisées :La clés secrète : Il s’agit d’un code enregistré dans chaque routeur ; lesdeux extrémités enregistrent la même clé.L’authentification, le cryptage, le décryptage, ainsi que le contrôle del’intégrité sont réalisés au moyen de cette clé ; c’est donc son caractèresecret qui garantit la sécurité.Le certificat : Il s’agit d’un fichier tenant lieu de carte d’identité ; il estdélivrée par une autorité de certification. Il est unique ; Il contient unesuite d’informations qui identifient son détenteur ainsi que l’autorité qui l’adélivré ; il contient également un code appelé clé publique et un autreappelé clé privée.La sécurité repose sur le temps déraisonnable qui devrait être passé pourdéduire la clé privée associée à la clé publique.ETIC Télécom est une autorité de certification reconnue et habilitée àfournir des certificats. Chaque routeur est équipé d’un certificat au formatdéfini par la norme X509.Pour pouvoir établir une liaison, chaque extrémité doit connaître la clépublique de l’autre extrémité.Page 116 Notice d’utilisation ref 9016509-02Routeur 3G GPRS EDGE ref. IPL-G12

ANNEXE 4La technique des VPN3.1 FonctionnementAuthentificationA la connexion, les routeurs établissent entre eux un dialogue visant às’authentifier mutuellement.Si l’on a choisi un système à clé partagée, les clé sont échangées aprèsavoir été cryptées.Si on a choisi l’utilisation de certificats, chaque routeur transmet à l’autreun message chiffré au moyen de sa propre clé privée ; le destinataire ledécrypte au moyen de la clé publique de l’émetteur ; il en a connaissanceparce qu’elle a été déclarée lors du paramétrage.Clé privée de l'émetteurClé publique de l'émetteurMessageChiffrement Internet déchiffrementd'authentificationDonnéesen clairTransmissionUne fois l’authentification effectuée, le tunnel est constitué entre les deuxrouteurs ; les adresses IP sources et destination sont celles des deuxextrémités du VPN. Elle ne sont pas cryptées.Celui qui prend l’initiative de la connexion est appelé client VPN; leserveur VPN est celui qui accepte la connexion.Dans ce flux de trames IP entre les deux routeurs est transporté le traficutile : Les trames IP provenant des machines du premier réseau vers desmachines du second. Ce trafic est crypté (si on choisit cette option).Cryptage des donnéesDans le cas où l’on a choisi le système à clé partagée, le cryptage et ledécryptage s’effectuent avec la même clé.Dans le cas où l’on a choisi le système de certificats, le cryptage et ledécryptage ne sont pas symétriques : les données sont encryptées aumoyen de la clé publique du destinataire qui les décrypte au moyen de saclé privée.Routeur 3G GPRS EDGE ref. IPL-G12 Notice d’utilisation ref. 9016509-02 Page 117

ANNEXE 4La technique des VPNEntretien et coupure du VPNRégulièrement, en l’absence de trafic, chaque routeur envoie à sonhomologue une trame de vie permettant de s’assurer qu’il est actif ; enl’absence de réponse, le tunnel VPN est rompu à l ‘échéance d’unetemporisation.4 Types de VPN supportés pour l’interconnexion de sitesLe routeur IPL-G12 supporte deux types de VPN pour les interconnexionsde sites: IPSec et TLS/SSL.Pour chacun de ces deux types, le routeur IPL-G12 peut être client VPNou serveur VPN.Toutes les connexions doivent être du même type (SSL ou IPSec) ; 16VPN simultanés peuvent être établis.IPSec est le protocole le plus couramment utilisé pour établir des VPN.On choisira donc d’utiliser IPSec si c’est la solution qui est imposée ; parexemple, dans le cas où un routeur IPL-G12 doit communiquer avec unrouteur d’une autre marque qui ne supporte que le protocole IPSEC.TLS/SSL est le protocole VPN offre plus de souplesse tout engarantissant un niveau de sécurité équivalent à IPSec. On préférera TLSà chaque fois qu’il s’agit d’une connexion entre deux routeurs IPL.Page 118 Notice d’utilisation ref 9016509-02Routeur 3G GPRS EDGE ref. IPL-G12

13, Chemin du Vieux Chêne38240 Meylan FranceTél : 33 4 76 04 20 00Fax : 33 4 76 04 20 01E-mail : contact@etictelecom.comWeb : www.etictelecom.com