RAS-AD2E - Etic Telecom

RAS-AD2ERouteur ADSL - serveur RAS - firewall_________________NOTICE D'UTILISATIONDocument référence : 9017509-02_________________

Le routeur ADSL2 + RAS-AD2E est fabriqué parETIC TELECOM13 Chemin du vieux chêne38240 MEYLANFRANCEEn cas de difficulté dans la mise en oeuvre du produit, vous pouvez vousadresser à votre revendeur, ou bien contacter notre service support :TEL : + (33) (0)4-76-04-20-05FAX : + (33) (0)4-76-04-20-01E-mail : hotline@etictelecom.comweb : www.etictelecom.com

SOMMAIREPRESENTATION1 DECLARATION DE CONFORMITE ............................................................................ 92 IDENTIFICATION DES PRODUITS........................................................................... 103 PRESENTATION........................................................................................................ 113.1 Applications.................................................................................................. 123.2 Fonctions ...................................................................................................... 134 FICHE TECHNIQUE................................................................................................... 16INSTALLATION1 DESCRIPTION DU PRODUIT.................................................................................... 192 PRECAUTIONS D’INSTALLATION .......................................................................... 243 MISE A LA TERRE .................................................................................................... 244 FUSIBLE .................................................................................................................... 245 CONNEXION AU RESEAU LOCAL ETHERNET...................................................... 246 CONNEXION A L’INTERFACE RS232 ..................................................................... 257 CONNEXION A L’INTERFACE RS485 ..................................................................... 258 RACCORDEMENT DES ENTREES SORTIES ......................................................... 269 RACCORDEMENT A LA LIGNE ............................................................................... 2710 ABONNEMENT A L’INTERNET ................................................................................ 28../..Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 3

SOMMAIREMISE EN SERVICE1 ETAPES DE LA CONFIGURATION DU ROUTEUR................................................. 292 CONNEXION DU PC EN VUE DE LA CONFIGURATION........................................ 292.1 Introduction .................................................................................................. 292.2 Première configuration................................................................................ 312.3 Modifications de la configuration par l’interface LAN.............................. 322.4 Modification à distance par l’Internet......................................................... 323 REDEMARRAGE APRES MODIFICATION DE CERTAINS PARAMETRES........... 334 RESTITUTION DE L’ADRESSE IP USINE................................................................ 335 RETOUR A LA CONFIGURATION USINE................................................................ 346 PROTECTION DE L’ACCES AU SERVEUR D’ADMINISTRATION......................... 357 RETROUVER L’ACCES LIBRE AU SERVEUR D’ADMINISTRATION.................... 358 CONFIGURATION USINE DU ROUTEUR ................................................................ 369 ATTRIBUTION DES ADRESSES IP SUR L’INTERFACE LOCALE (LAN).............. 379.1 Principes ....................................................................................................... 379.2 Configuration de l’interface LAN................................................................ 3910 CONFIGURATION DE LA CONNEXION A INTERNET............................................ 4010.1 Paramètres ADSL......................................................................................... 4010.2 Paramètres de connexion Internet ............................................................. 4011 PUBLIER L’ADRESSE IP DYNAMIQUE DU ROUTEUR SUR L’INTERNET........... 4111.1 Principe ......................................................................................................... 4111.2 Paramétrage ................................................................................................. 4312 SERVICE D’ACCES SECURISE D’UTILISATEURS DISTANTS (RAS) .................. 44../..Page 4 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

SOMMAIRE… MISE EN SERVICE13 CONNEXIONS DISTANTES DE TYPE PPTP OU TLS OU L2TP/IPSEC ................. 4613.1 Principe des connexions distantes............................................................ 4613.2 Types de connexions distantes.................................................................. 4713.3 Paramétrage d’une connexion distante de type TLS................................ 4713.4 paramétrage d’une connexion distante de type PPTP ............................. 4913.5 Paramétrage d’une connexion distante de type L2TP / IPSec................. 4914 M2ME_CONNECT POUR LA PRISE EN MAIN DE MACHINE A DISTANCE ......... 5014.1 Présentation ................................................................................................. 5014.2 Paramétrage d’une connexion au service M2Me_Connect...................... 5015 LISTE D’UTILISATEURS........................................................................................... 5315.1 Présentation ................................................................................................. 5315.2 Définir des utilisateurs ................................................................................ 5416 INTERCONNEXION DE ROUTEURS AU MOYEN DE VPNS................................... 5616.1 Principes ....................................................................................................... 5616.2 VPN IPSec ..................................................................................................... 5716.3 Connexion TLS............................................................................................. 6417 ROUTAGE.................................................................................................................. 6817.1 Fonctions de base........................................................................................ 6817.2 Route statique .............................................................................................. 6917.3 Protocole RIP................................................................................................ 70../..Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 5

SOMMAIRE… MISE EN SERVICE18 SUBSTITUTION D’ADRESSES (NAT & REDIRECTION DE PORT) ....................... 7218.1 Translation d’adresse (NAT) ....................................................................... 7218.2 Redirection de port (port forwarding) ........................................................ 7219 CONFIGURATION DU PARE-FEU............................................................................ 7519.1 Présentation du pare-feu............................................................................. 7519.2 Filtre principal .............................................................................................. 7719.3 Configuration des filtres utilisateurs ......................................................... 7920 CONFIGURATION DES PASSERELLES SERIE...................................................... 8320.1 Présentation des types de passerelles...................................................... 8320.2 Passerelle Modbus....................................................................................... 8520.3 Passerelle « TCP RAW ».............................................................................. 9120.4 Passerelle “RAW UDP”................................................................................ 9320.5 Passerelle Unitelway.................................................................................... 9621 FONCTIONS AVANCEES ......................................................................................... 9721.1 Ajouter un certificat ..................................................................................... 9721.2 Programmation des alarmes....................................................................... 9721.3 Activer le portail web ................................................................................... 9921.4 Configurer le serveur DNS ........................................................................ 101../..Page 6 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

SOMMAIREMAINTENANCE ET DIAGNOSTIC1 DIAGNOSTIC VISUEL DE DEFAUT DE FONCTIONNEMENT .............................. 1032 MENU DIAGNOSTIC ............................................................................................... 1033 SAUVEGARDE ET CHARGEMENT D’UN FICHIER DE PARAMETRES .............. 1054 MISE A JOUR DU FIRMWARE ............................................................................... 105QUELQUES UTILISATIONS PARTICULIERES1 CONNEXION VPN AU MOYEN DU LOGICIEL M2ME_SECURE .......................... 1072 CONNEXION PAR INTERNET AU MOYEN DU SERVICE M2ME_CONNECT...... 1083 CONNEXION NON SECURISEE ............................................................................. 1094 VISUALISATION DES ENTREES ET TELECOMMANDE DE LA SORTIE............ 109Annexe 1 :Annexe 2 :Annexe 3 :Annexe 4 :Annexe 5 :Arborescence du serveur d’administrationCréer une connexion sécurisée PPTP sous Windows XPModifier une connexion Ethernet TCP/IP sous Windows XPLa technique des VPNCâblage du parasurtenseur de ligneRouteur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 7

PRESENTATION1 Déclaration de conformitéIdentification : Routeur ADSL & firewall & serveur RASRéférence : RAS-AD2EAu nom de la société ETIC Telecom, Gilles Benas agissant en tant quedirecteur de la qualité, déclare que le produit ci-dessus est conforme à ladirective R&TTE Directive (1999/5/EC).Le produit routeur est en particulier conforme aux normes suivantes :Compatibilité : EN 55022EN 50024EN 300386-2FCC Part 15Sécurité : EN 60950UL (IEC950)Substance dangereuses :2002/95/CE (RoHS)Date : 5 Septembre 2007Gilles BenasResponsable de la qualitéRouteur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 9

PRESENTATION2 Identification des produitsLa présente notice décrit la mise en service et l’utilisation des produitssuivants :RAS-AD2E- 1400 1220 1230RouteurADSL 2+ et RE-ADSL • • •Firewall SPI • • •Serveur RAS 25 utilisateurs • • •Compatible du service M2Me_Connect pour laprise en main à distance• • •Passerelle série (Raw TCP et UDP,Telnet,Modbus, Unitelway)- • •25 VPN IPSEC & SSL • • •RJ45 4 2 2RS232 - 1 2RS485 - 1 -Routeur IP • • •NAT • • •Redirection de port (port forwarding) • • •SNMP • • •DNS • • •DHCP client ou serveur sur l’interface LAN • • •Entrée TOR pour email d’alarmes 1 1 1Configuration HTML • • •IO Viewer : Module optionnelde visualisation d’entrées sorties modbus• • •Page 10 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

3 PrésentationPRESENTATIONLe routeur RAS-AD2E est à la fois un routeur ADSL, un firewall et serveurRAS.Il permet à des utilisateurs distants de prendre en main une machine parl’Internet pour les opérations de télé-maintenance ou télé-exploitationdans des conditions sûres.Le routeur RAS-AD2E présente une interface ADSL nommée « interfaceWAN » dans la suite du texte et une interface Ethernet nommée« interface LAN ».Interface WAN ADSL2+L’interface WAN est fait pour le raccordement d’une ligne ADSLgénéralement raccordée à l’Internet .C’est sur cette interface peuvent être établis des VPN, et que desutilisateurs distants peuvent se connecter.Interface LAN 10 /100 BT (série ou USB en option)L’interface LAN est fait pour le raccordement d’un système industriel telqu’un réseau d’équipements constituant un réseau local IP.Elle est constituée de 4 prises Ethernet 10/100BT ou bien de deux prisesEthernet et deux prises série ou encore une prise USB selon les modèles.Le réseau qui y est directement raccordé est appelé « réseau LAN ».Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 11

PRESENTATIONSNMPLe routeur RAS-AD2E est agent SNMP; il répond à la MIB2 standard ettransmet un trap SNMP lorsque des événements paramétrablessurviennent.DNSLe système DNS permet au routeur RAS-AD2E d’établir une connexionavec un autre routeur même si l’un, l’autre ou les deux routeurs nepossèdent pas une adresse IP connue.Le principe du DNS consiste à désigner un routeur destinataire d’uneconnexion par un nom de domaine (par exemple « etictelecom » est unnom de domaine) plutôt que par son adresse IP.DHCP client et serveurSur l’interface LAN, le routeur RAS-AD2E peut recevoir une adresse IPfixe ou se comporter en client d’un serveur DHCP qui lui attribue uneadresse IP ; il peut aussi se comporter en serveur DHCP. Ces fonctionssont réglées au moyen de DIP switches placés sous la trappe sur la facesupérieure du produit.Emails – smsUn email enregistré dans le routeur peut être transmis lorsque l’entréetout ou rien se ferme ou s’ouvre.Cet email peut être transformé en SMS si l’adresse mail du destinataire aété attribuée à un numéro de téléphone mobile.Configuration Html et DIP switchesLe routeur RAS-AD2E se configure au moyen d’un navigateur HTML2 micro-interrupteurs (DIP switches) permettent en plus de fixer le moded’attribution de l’adresse IP du routeur (DHCP client ou serveur ou fixe) etde retrouver l’adresse IP « usine » en cas de difficulté.EticFinderLe logiciel ETICFinder livré avec le routeur ; il permet de détectersimplement tous les produits de marque ETIC connectés à un segmentEthernet pour afficher leur adresse MAC ainsi que l’adresse IP qui leurest attribuée sur le réseau.Page 14 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

PRESENTATIONPasserelle sérieCertaines références du routeurs possèdent une passerelle à 2 liaisonsasynchrones (RS232 ou RS485).La passerelle fonctionne suivant l’un des modes suivants :Raw TCP client ou serveurTelnetModbus maître ou esclaveunitelwayServeur web de données :L’option IOViewer permet de collecter des données sur le réseaud’automatisme (Modbus Ethernet ou série) et de les présenter sur despages html accessibles depuis l’Internet.Il est également possible de télécommander des sorties.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 15

PRESENTATION4 Fiche techniqueCaractéristiques généralesDimensions 137 x 48 x 116 mm (h, l, p)EMIEN50082-2Sécurité électrique EN 60950- UL 1950CEMSubstancesdangereusesTension d’alimentationESD : EN61000-4-2 : Décharge 6 KVChamp HF : EN61000-4-3 : 10V/m < 2 GHzTransitoires : EN61000-4-4Choc : EN61000-4-5 : 4KV line / earth2002/95/CE (RoHS)RAS-AD2E-1400 & RAS-AD2E-1230 : 10 à 60 VDC - 250 mA at 24 VDCRAS-AD2E-1220 : 10 à 30 VDC - 250 mA à 24 VDCT° d’utilisation -20°C / + 60°C Humidité 5 à 95 %Connexion ADSL et InternetITU G992.5 (ADSL2+ et Reach Extended ADSL)ADSLJusqu’à 24 Mbit/s depuis internetJusqu’à 1 Mbit/s vers internetPPPo Ethernet ou PPPo ATMConnexion Internet EoA : Ethernet over ATM RFC2684 BridgedIPoA : Routed IP over ATM, RFC2684 RoutedEthernet / routage IPEthernetRouteurTranslation d’@IPDNSDHCP10-100 BTDétection de débit 10 ou 100 Mb/s et de câble croiséConnexions distantes - Routes statiques - RIP V2Translation d’@IP source (NAT)Translation de port (Port forwarding)Gestion du système de nom de domaineInternet : Client ou @IP fixeLAN : DHCP client ou serveur ou @ IP fixePage 16 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

PRESENTATIONSécuritéVPNFirewallLogsClient ou serveur IPSEC ou TLS/SSL25 VPN simultanéscryptage AES256 ou 3DESAuthentification IPSec : Clé partagée ou certificat X509Authentification TLS : Certificat X509Stateful packet inspection (50 règles)Filtrage d’adresses IP et des N° de port source etdestinationTableau d’événements horodatésServeur d’accès distant (RAS)Utilisateurs distants Liste de 25 utilisateursConnexionM2MeAlarmesSécurisée par VPN PPTP / L2TP-IPSec / TLS Open VPNContrôle de Login et mot de passeContrôle de certificat X509Compatible du logiciel client VPN M2Me_SecureCompatible du service de médiation M2Me_ConnectEmail au moyen d’1 entrée numériqueLiaison sérieRS232Passerelle RS2321200 à 115200 kb/s parity N / E / ORaw client et serveur - Modbus maître et esclaveMulticast - Telnet - UnitelwayRouteur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 17

INSTALLATIONRouteur RAS-AD2E-1230VPN établiADSL établiOPERATIONNon utiliséEthernetport 1 & port 2RS485RX led(Vers IPL)110 / 100 BT2TX led(Depuis IPL)RS232Page 20 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

INSTALLATIONVOYANTSInterface Voyant FonctionADSL VPN Un VPN au moins est établiADSLClignotant : La liaison ADSL est en cours d’établissementLINEEclairé : La liaison ADSL est établieEthernet Ethernet 1Eclairé avec clignotements très brefs : Echange de donnéesÀEclairé : Interface connecté, pas d’activitéEthernet 4RS232 Rx Caractères reçus de la liaison V24/RS232 (vers RAS)TxCaractères transmis vers la liaison V24/RS232 (depuisRAS)RS485 Rx Caractères reçus de la liaison RS485 (vers RAS)TxCaractères transmis sur la liaison RS485 (depuis RAS)Opérations Voyant RUN :Allumé vert : En fonctionAllumé rouge : AlarmeBornier 8 points : Alimentation et Sortie TORBroche Signal Fonction1 Power 1 + 10 à 60 VdC (RAS-AD2E-1400 & RAS-AD2E-1230)10 à 30 VDC (RAS-AD2E-1220)2 Power 1 - Masse3 Réservé4 Réservé5 3V3 Tension + 3 V DC fournie par le produit6 In Entrée TOR7 F + Sortie TOR + (max 50Vdc - 0,6A)8 F - Sortie TOR -Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 21

INSTALLATIONConnecteur RJ45 ADSLBroche Signal Fonction1 N.C. -2 N.C. -3 N.C. -4 TIP Ligne ADSL5 RING Ligne ADSL6 N.C. -7 N.C. -8 N.C. -Connecteur RJ45 Ethernet 1 à 4Broche Signal Fonction1 Tx + Emission polarité +2 Tx - Emission polarité -3 Rx + Réception polarité +4 N.C -5 N.C -6 Rx - Réception polarité -7 N.C. -8 N.C. -Bornier 2 points RS485(RAS-AD2E-1220)Broche Signal Fonction1 A RS485 polarité A2 B RS485 polarité BConnecteur RJ45 RS232(RAS-AD2E-1230)(raccordement d’un équipement DCE)Broche Circuit Sens Fonction1 DTR - 108 Sortie Terminal de données prêt2 TD - 103 Sortie Emission de données3 RD - 104 Entrée Réception de données4 DSR - 107 Entrée Poste de données prêt5 SG - 102 - Terre de signalisation6 Inutilisé Sortie -7 CTS - 106 Entrée Prêt à émettre8 RTS - 105 Sortie Demande pour émettrePage 22 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

SW 1 SW 2OFFONOFFOFFOFFONON ON RéservéMicro-interrupteursINSTALLATIONL’@ IP du serveur d’administration est l’adresseprogramméeL’@ IP du serveur d’administration est l’adresseusine : 192.168.0.128Le mot de passe qui protège l’accès au serveurd’administration est inopérantl'adresse IP du serveur d’administration est obtenueauprès d’un routeur BOOTP ou DHCP.Bouton-poussoir : Un bouton-poussoir est placé sous la trappe à côtédes DIP switches ; il permet de restaurer la configuration usine.Pour restaurer la configuration usine : Mettre le produit sous tensiontout en maintenant le bouton poussoir enfoncé et jusqu’à passage à lacouleur verte du voyant RUN.Attention : La configuration éventuellement programmée est perdue.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 23

INSTALLATION2 Précautions d’installationVentilationLe produit est conçu pour être fixé sur un rail DIN 35 mm.Pour éviter tout échauffement, en particulier lorsque la températureambiante peut s’élever dans l’armoire électrique, on veillera à ménager unespace de 1 cm de chaque côté du produit pour faciliter l’écoulement dela chaleur.AlimentationLe produit est pourvu d’une entrée d’alimentation.RAS-AD2E-1400 et RAS-AD2E-1230 : La tension d’alimentation doit êtrerégulée et strictement comprise entre 10 et 60 Volt continu.La consommation est de 6W.RAS-AD2E-1220 : La tension d’alimentation doit être régulée etstrictement comprise entre 10 et 30 Volt continu.La consommation est de 6W.3 Mise à la terreLe boîtier est métallique; on veillera à relier la cosse de mise à la terre duboîtier (située sur sa face inférieure) à une terre de protection efficace.4 FusibleLa carte électronique est équipée d’un fusible rapides 3 A situés àproximité du bornier d’alimentation débrochables.5 Connexion au réseau local EthernetLes interfaces Ethernet sont à reconnaissance automatique du débit 10ou 100 Mb/s et de croisement de circuits.Pour connecter directement un PC au routeur (par exemple, à la mise enservice), utiliser un cordon Ethernet standard croisé ou non.Page 24 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

6 Connexion à l’interface RS232INSTALLATIONLe routeur RAS-AD2E-1230 dispose de deux interfaces série RS232.Les produits RAS-AD2E-1220 dispose d’une interface série RS232 etd’une interface RS485.Ces interfaces permettent le raccordement d’un équipement asynchrone(automate …) afin de pouvoir y accéder depuis le réseau local ou àdistance.Liaison RS232La liaison RS232 permet de raccorder indifféremment un équipementDTE (terminal) ou DCE (modem). Selon le type d’équipement à raccorder,utiliser l’un des câbles suivants (à commander séparément) :Câbles RS232Référence Connecteur FonctionCAB592 SubD 9 pts mâle Raccordement d’un DCECAB593 SubD 9 pts femelle Raccordement d’un DTECAB609 Fils nus Raccordement d’un DTE ou DCE seloncâblageLongueur maximale du câble RS232L’équipement raccordé à l’interface RS232 ne doit pas être éloigné de plus d’une dizainede mètres du XSRING et le câble de raccordement doit de préférence être blindé.7 Connexion à l’interface RS485La liaison RS485 est polarisée par des résistances de 1 K Ohm àl’intérieur du produit.Si l’équipement asynchrone est raccordé à une distance supérieure à10m, on aura soin de connecter une résistance de terminaison de busRS485 suivant les règles de l’art.Les produits RAS-AD2E-1220 dispose d’une interface asynchrone RS232et RS485 2 fils.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 25

INSTALLATIONIPL-AD2+ -1 KOhm 1 KOhmB(+) A(-)RS4858 Raccordement des entrées sortiesL’entrée 1 permet d’émettre unealarme par e-mail ou bien decommander la connexion du routeurà l’Internet.Par ailleurs, le menu du menu« Contrôle des E/S » du routeurd‘administration permet devisualiser l’état de l’entré et detélécommander la sortie.IPL-AD2Entrée TOR3V3 In5 6I max = 0,5 ASortie TORpolariséeF+ F-7 8V+-V < 48 VDCI < 0,5 APage 26 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

INSTALLATION9 Raccordement à la ligneLe routeur RAS-AD2E se raccorde à une ligne téléphonique de typeanalogique à 2 fils ou bien à une ligne « dégroupée ».Longueur de ligne / niveau de signal :le routeur RAS-AD2E peut être connecté à une ligne dont l’opérateurgarantit une atténuation meilleure que 63 dB.Cependant, lorsque le niveau de réception est voisin de ce minimum(parce que la ligne est très longue), le nombre de déconnexionsintempestives s’accroît.Dans ce cas, Il est conseillé de demander à l’opérateur de transmettre aumoyen de la technique « RE-ADSL» (reach extended ADSL) qui accroîtla puissance du signal et diminue le débit pour obtenir une augmentationde la portée.Filtre ADSL :Si le routeur RAS-AD2E est connecté à une ligne analogique et que leservice de téléphonie est fourni par l’opérateur, il est possible deconnecter un poste téléphonique en parallèle au routeur.Pour ce faire, on doit connecter un filtre ADSL sur l’arrivée de la ligne.Parasurtenseur :Le routeur RAS-AD2E est protégé contre les surtensions provenant de la ligne, dues enparticulier aux orages ; néanmoins, si la ligne est notoirement exposée à l’orage – ligneaérienne, câble non blindé, régions orageuses - nous conseillons d’équiper les extrémitésde la paire torsadée avec un parasurtenseur relié à la terre.On trouvera en annexe 5 la description du câblage du parasurtenseur quenous avons qualifié.RouteurFiltreParasurtenseurLignetéléphoniqueRouteur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 27

INSTALLATION10 Abonnement à l’InternetAdresse IP publique :L’adresse IP publique attribuée par l’opérateur sur l’Internet peut être fixeou dynamique.Néanmoins, si l’adresse attribuée au routeur RAS-AD2E est dynamique,elle change à chaque connexion du routeur à l’Internet ; elle n’est doncconnue d’aucun autre abonné de l’Internet.En conséquence, un routeur disposant d’une adresse IP dynamique doitêtre configuré pour être à l’initiative d’une connexion, c’est à dire« client » ; ou bien publier sur un serveur DYN DNS l’adresse provisoirequi lui est attribuée à chaque connexion à l’Internet. On se référera auchapitre MISE EN SERVICE pour plus de détails.Autres caractéristiques techniques :On se référera au chapitre MISE EN SERVICE où sont listés lesparamètres techniques nécessaires à l’établissement de la connexion.Il appartient à l’opérateur de les fournir pour rendre la connexion possible.Page 28 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE1 Etapes de la configuration du routeurPour configurer le routeur, nous conseillons de procéder comme suit :• Connecter un PC au routeur• Configurer les interface LAN et Internet• Configurer la connexion d’utilisateur distant ou le service M2Me_Connect• Saisir la liste des utilisateurs distants• Configurer les VPN avec d’autres routeurs• Configurer les fonctions de translation d’adresse et redirection de port• Configurer le firewall2 Connexion du PC en vue de la configuration2.1 IntroductionLe routeur se configure au moyen d’un PC équipé d’un navigateur HTML.Aucun logiciel complémentaire n’est nécessaire.Adresse du serveur d’administration :Le serveur web d’administration se trouve à l’adresse IP de l’interfaceEthernet LAN du routeur (192.168.0.128 par défaut).Configuration :La première configuration s’effectue en connectant le PC directementau connecteur Ethernet de l’interface LAN du produit.Les modifications ultérieures peuvent être en plus effectuées depuis leréseau LAN, ou bien depuis le réseau WAN après avoir créé une règle defirewall appropriée ou bien encore à distance en utilisant une connexiondistante PPTP ou TLS.Restitution de l’adresse IP usine :L’adresse IP usine 102.168.0.128 peut être restituée en plaçant les microswitchesSW1 sur ON et SW2 sur OFF. De plus, lorsque les microswitchessont dans cette position, et si un mot de passe protège l’accèsau serveur de configuration, il est rendu inopérant depuis l’interface LAN.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 29

MISE EN SERVICEProtection d’accès au serveur d’administration :Si vous ne parvenez pas à accéder au serveur d’administration, c’estprobablement que l’accès en a été limité pour des raisons de sécurité oupour d’autres raisons.Position des micro-interrupteurs ;Les micro- interrupteurs SW01 et SW02 ne doivent pas être laissés sur la positionSW01=ON et SW02=OFF une fois le routeur installé. Cette position est réservée à larestitution de l’adresse IP Usine.« Copier / coller » :Les paramètres doivent être saisis au clavier et pas « collés ».Cependant, le « copier / coller » peut être utilisé avec l’artifice suivant :Après avoir collé le paramètre, on supprime le dernier caractère collé et on le saisit ànouveau pour que le paramètre soit pris en compte.Format des adresses réseau :Dans la suite du texte on appelle « adresse réseau », l’adresse de valeurla plus basse du réseau.Par exemple si le netmask est 255.255.255.0, l’adresse réseau estX.Y.Z.0.Caractères autorisésles caractères accentués ne peuvent être saisis.Page 30 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE2.2 Première configurationEtape 1 : Créer ou modifier la connexion TCP/IP du PC (voir annexe 1).Attribuer à cette connexion une adresse IP différente mais cohérenteavec l’adresse IP usine du routeur qui est 192.168.0.128.On utilisera par exemple l’adresse 192.168.0.127 pour le PC.Etape 2 : Connecter le PC au routeurConnecter le PC au routeur, soit directement soit au moyen d’un switch.Etape 3 : Lancer le navigateurOn préfèrera Internet Explorer.Ouvrir le navigateur, effacer l’historique, et saisir l’adresse IP du serveurd’administration programmée en usine : 192.168.0.128 (ne pas faireprécéder l’adresse de www).La page d’accueil du serveur d’administration s’affiche.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 31

MISE EN SERVICENote : A la première configuration, l’accès au serveur d’administrationn’est pas protégé ; voir paragraphe pour protéger l’accès au serveurd‘administration.2.3 Modifications de la configuration par l’interface LAN• Ouvrir le navigateur html et saisir l’adresse IP du serveurd’administration du routeur.• Saisir, s’il y a lieu, le nom d’utilisateur et le mot de passe qui ont étéprogrammés pour protéger l’accès au serveur d’administration.Si la fenêtre de demande d’identification ne s’affiche pas :• L’adresse IP que vous avez saisie est fausse.Si la fenêtre de demande d’identification s’affiche, mais pas la page web :• Le nom d’utilisateur ou le mot de passe d’accès au serveurd’administration sont erronés.2.4 Modification à distance par l’InternetLes modifications de configuration peuvent être effectuées à distance parl’internet au moyen d’une connexion PPTP ou au travers du VPNAprès avoir connecté le PC au routeur RAS-AD2E via l’Internet, saisirl’adresse IP du routeur sur le réseau local.Note :Pour des raisons de sécurité, l’adresse publique Internet ne permet pasd’accéder au serveur de configuration.Page 32 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE3 Redémarrage après modification de certains paramètresCertains paramètres ne sont pris en compte par le routeur qu’aprèsredémarrage du produit.Lorsque l’on effectue la configuration à distance, ceci a en plus pour effetde couper la liaison VPN.Il est donc conseillé d’opérer comme suit :• Après modification des paramètres d’une page, cliquer le bouton« enregistrer » placé en bas de la page.• Lorsque le paramétrage est terminé, pour que les modificationssoient prises en compte, cliquer le bouton « redémarrer » de couleurrouge qui apparaît en bas de la barre verte de menu.Le routeur redémarre (la durée du redémarrage est de 15 sec environ).• Fermer le navigateur html, puis l’ouvrir à nouveau pour contrôlerque le paramétrage a correctement été pris en compte.Le bouton « redémarrer » doit avoir disparu.Attention : Le bouton « redémarrer » est situé sous le dernier menu dela barre de couleur verte; il peut ne pas apparaître à l’écran si tous lesmenus sont ouverts ; contrôler en utilisant la barre de navigation.4 Restitution de l’adresse IP UsineAu cas où l’adresse IP de l’interface LAN du routeur ne pourrait êtreidentifiée, on procéder suivant l’une des deux méthodes ci-dessous :1ere méthode :On place le DIP switch SW01 sur la position ON. et SW02 OFF.L’adresse IP « Usine » 192.168.0.128 est restituée tant que ces DIPswitches sont maintenus dans cette position.2eme méthode :Le logiciel ETICFinder permet de détecter tous les produits fabriquéspar ETIC TELECOM et connectés sur le segment ethernet ; le logicielaffiche l’ adresse IP attribuée à chacun d’entre eux.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 33

MISE EN SERVICE5 Retour à la configuration UsineSi l’on programme des règles de firewall interdisant finalement toutecommunication, il peut être nécessaire de restaurer la configuration Usine.Dans ce cas, le routeur retrouve la configuration qu’il avait à la livraison(voir ci-dessous).Deux solution permettent de restituer la configuration usine : Soit lebouton poussoir, soit un bouton du serveur d’administration.Pour restituer la configuration Usine au moyen du bouton poussoir,• Mettre le routeur hors tension,• Ouvrir la trappe située sur la partie supérieure,• Appuyer sur le poussoir avec une pointe de tournevis par exemple,• Mettre sous en tension tout en maintenant le poussoir enfoncé.Le voyant « Service » passe au rouge ; le routeur s’initialise et laconfiguration par défaut est restituée.Pour restituer la configuration usine au moyen du serveur web,• Sélectionner le menu « Maintenance », puis le menu « Sauvegarde /Restauration ».• Cliquer le bouton « Restaurer la configuration Usine ».Le voyant « Operations » passe au rouge ; le routeur s’initialise et laconfiguration par défaut est restituée.Remarque :Après avoir restauré la configuration Usine du routeur, la configurationstockée précédemment est perdue.Page 34 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE6 Protection de l’accès au serveur d’administration• Sélectionner le menu « Configuration », « Sécurité » puis « Droitsd’administration ».• Saisir le nom d’utilisateur et le mot de passe qui protègent l’accès auserveur d’administration.7 Retrouver l’accès libre au serveur d’administrationEn cas de perte du nom d’utilisateur et du mot de passe d’accès auserveur d’administration, on peut restituer un accès libre au serveurd’administration, par l’interface LAN uniquement, en plaçant le DIP switchSW01 en position ON et SW02 en position OFF.Remarque :Les DIP switches ne doivent pas être laissés dans cette position en coursd’utilisation du produit.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 35

MISE EN SERVICE8 Configuration Usine du routeurA la livraison du produit, ou après avoir cliqué le bouton « restaurer laconfiguration par défaut », il est paramétré comme suit :Adresse IP LAN : 192.168.0.128Adresse IP WAN :AucuneUtilisateur distant par défaut : Login = admin ; mot de passe = adminProtection d’accèsau serveur d ‘administration : AucuneCompte tenu de ce paramétrage, voici comment se comportera lerouteur à la livraison après avoir complété les paramètres d’abonnementau fournisseur d’accès Internet :• Accès au serveur d ‘administration par l’interface LAN :L’accès au serveur d’administration est possible uniquement parl’Interface LAN à l’adresse 192.168.0.128.Aucun mot de passe ne protège l’accès au serveur d’administration.• Connexion d’un utilisateur distant par l’Internet :Après avoir créé une connexion PPTP ou TLS sur son PC distant, unutilisateur distant peut connecter son PC et l’interface WAN du routeuren utilisant l’identification et le mot de passe de l’utilisateur par défaut(admin, admin).Le firewall autorise l’utilisateur distant à accéder à tous les équipementsconnectés au réseau LAN.Il peut aussi accéder de cette manière au serveur d’administration endésignant l’adresse IP 192.168.0.128.• Echange de trames véhiculées dans un VPNA la livraison, le firewall autorise sans restriction le transfert des tramesvéhiculées dans un VPN entre le réseau LAN et un réseau LAN distant.En conséquence, pour bloquer les échanges de trames véhiculées dansun VPN établi entre deux routeurs à travers l’Internet, il faut changer lapolitique du filtre principal et créer une ou plusieurs règles de firewall.Voir paragraphe Configuration du firewall.Page 36 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

• Cas des trames non véhiculées dans un VPNMISE EN SERVICEA la livraison, la politique du filtre principal du firewall interdit le transfertde trames IP provenant de l’Internet et non véhiculée dans un VPN.En conséquence, pour autoriser les échanges de trames véhiculées horsd’un VPN, depuis l’Internet, il faut changer la politique du filtre principal etcréer une ou plusieurs règles de firewall.Voir paragraphe Paramétrage du firewall.9 Attribution des adresses IP sur l’interface locale (LAN)9.1 PrincipesSwitch EthernetL’interface LAN est constituée de 4 prises Ethernet (switch) ou bien dedeux prises Ethernet et deux prises série selon les modèles.Cette interface est désignée par « interface LAN » dans la suite du texte ;et le réseau qui y est directement raccordé est appelé « réseau LAN ».Adresse IP fixe, client DHCP, serveur DHCP :Sur l’interface LAN, il est recommandé d’attribuer des adresses IP fixesau routeur (Cependant, le routeur peut être configuré en client DHCP aumoyen des DIP switches).Le routeur peut également être serveur DHCP.Adresses à enregistrer :Les adresses IP suivantes doivent être enregistrées :L’adresse IP du routeur sur l’interface LAN.Le groupe d’adresses IP appelé pool d’adresses IP des utilisateursdistantsLorsqu’un utilisateur distant se connecte au routeur au moyen d’uneconnexion distante PPTP ou TLS ou encore au moyen du serviceM2Me_Connect, une adresse de ce groupe est attribuée au PCdistant.Les adresses de ce pool d’adresses font partie du réseau LAN.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 37

MISE EN SERVICERègles d’attribution des adresses IP de l’Interface LANLorsqu’on établit une connexion distante PPTP ou TLS, le pland’adresses IP du réseau du PC distant d’une part, et du réseau demachines d’autre part, doivent être disjoints.Lorsque le routeur est utilisé pour établir un VPN avec un autre routeur, leplan d’adresses IP du réseau LAN distant d’une part, et du réseau demachines d’autre part, doivent être disjoints.Page 38 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE9.2 Configuration de l’interface LAN• Sélectionner le menu « Configuration », puis « Interface LAN »,puis « Protocole IP ».• Configurer les paramètres « Réseau LAN » :Paramètre « Adresse IP » :C’est l’adresse IP du routeur sur le réseau local. Elle permet aussid’accéder au serveur d’administration (à distance ou par ethernet).Paramètre « Masque de sous-réseau » (netmask) :Le masque de sous-réseau définit la structure des adresses IP de toutesles stations d’un segment de réseau local.La valeur de ce masque doit être fournie par le responsable du réseau ;cependant, on notera que dans les réseaux de 254 stations, le masquede sous-réseau est 255.255.255.0.Remarque : Si « l’adresse IP usine » est forcée au moyen des micro-switches (SW1ON et SW2 OFF), un message d’avertissement est affiché mais cela n’empêche pas desaisir l’adresse IP dans le routeur. Elle ne deviendra effective que lorsque les microswitchesseront repassés en mode « @IP programmée » (SW1 OFF et SW2 OFF). Il enest de même si le routeur a été forcé en mode client BOOTP ou DHCP.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 39

MISE EN SERVICE10 Configuration de la connexion à Internet10.1 Paramètres ADSLLes valeurs des paramètres de la ligne ADSL doivent être fournis par lefournisseur de la ligne ADSL• Pour enregistrer les paramètres de la ligne ADSL, sélectionner lemenu « Configuration », puis « Interface WAN» , puis « Modem ».Paramètre « Modulation » :Il définit la modulation ADSL à utiliser. En général, le choix « multi »permet de s’auto-adapter à la modulation imposée par le fournisseurd’accès Internet.Paramètre « VPI » et « VCI » (Virtual Path Identifier/Virtual ChannelIdentifier) :Les valeurs VPI = 8 et VCI = 35 sont les valeurs couramment utilisées.Paramètre « MultRASexage » :Les modes VC et LLC sont disponibles.Paramètre « Encapsulation » :Les modes suivants sont disponibles :PPPoE : PPP over EthernetPPPoA : PPP over ATMEoA : Ethernet over ATM, RFC1483/RFC2684 BridgedIPoA : Routed IP over ATM, RFC1483 Routed10.2 Paramètres de connexion Internetl faut saisir dans cette page les paramètres de la connexion Internet durouteur; Ces informations sont indiquées par votre fournisseurd’accès Internet.• Sélectionner le menu « Interface Wan », puis « Connexion ».Paramètre « Identifiant du compte Internet et Mot de passe » :Ce sont les codes que doit fournir le routeur RAS-AD2E lorsqu’il seconnecte au fournisseur Internet.Page 40 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICEParamètre « Obtenir les @ des serveurs DNS automatiquement » :Cocher la case si le fournisseur fournit automatiquement l’adresse duserveur DNS (c’est le cas le plus fréquent).Autrement saisir les adresses IP des serveurs DNS (voir ci-dessous).Paramètre « Adresse des serveurs DNS primaire et secondaire » :Saisir l’adresse des serveurs si le fournisseur d’accès ne les délivre pasautomatiquement à la connexion.Paramètre « Serveur de courriers sortants (SMTP) » :C’est le l’adresse du serveur SMTP pour les courriers à émettre; parexemple « smtp.free.fr ».Paramètre « Adresse e-mail du compte source » :C’est l’adresse e-mail associée au compte ; elle est utilisée par lefournisseur de services Internet pour identifier l’émetteur du mail.11 Publier l’adresse IP dynamique du routeur sur l’Internet11.1 PrincipeSi l’abonnement ne prévoit pas d’attribuer une adresse IP fixe au produit,mais une adresse IP « dynamique – c’est à dire qui change à chaqueconnexion - il peut être utile de la publier à chaque changement sur unserveur spécialisé appelé DynDNS.Grâce à ce serveur, un utilisateur pourra connecter son PC au produit enutilisant le nom de domaine dynamique attribué au routeur ETIC(etictelecom.dyndns.org, par exemple) au lieu de l’adresse IP inconnue.Le procédé est le suivant :Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 41

MISE EN SERVICEChaque fois qu’il se connecte àl’Internet, le routeur RAS-AD2Einscrit l’adresse IP provisoire qu’ilreçoit sur l’Internet auprès duserveur DynDNS et face à son nomde machine (etictelecom, dansnotre exemple)Chaque fois qu’il souhaite seconnecter au produit, le PC ou lerouteur distant transmet auserveur DYNDNS une requêtevisant à obtenir en retour l’adresseIP du routeur RAS-AD2E possédantle nom de domaine « etictelecom ».Une fois qu’il a acquis l’adresse IPdu routeur RAS-AD2E, le routeurdistant peut établir la connexion àtravers l’Internet.Page 42 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

11.2 ParamétrageMISE EN SERVICEEtape 1 : Ouvrir un compte auprès de DynDNS.org pour réserver unnom de domaine dynamiqueLe site web www.dyndns.org permet de réserver un « nom de domainedynamique» sur l’Internet. C’ est le nom que l’on attribue au routeur surl’Internet (etictelecom.dyndns.org, par exemple).Etape 2 : Configurer le routeur• Sélectionner le menu « Interface WAN », puis « @IP dynamique » .• Activer l’option DynDNS .• Sélectionner l’option « serveur DynDNS.org ».• Entrer le « nom de machine » fourni par DynDNS ainsi que leslogin et mot de passe associés.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 43

MISE EN SERVICE12 Service d’accès sécurisé d’utilisateurs distants (RAS)Le routeur RASAD2e permet aux utilisateurs de PC distants de seconnecter à une machine, avec un niveau de sécurité élevé, que ce soità travers un réseau IP étendu ou bien l’Internet.Les services offerts par le routeur RASAD2e sont les suivants :• Identification des utilisateurs distants (log in, mot de passe, certificat).• Attribution automatique d’une adresse du réseau local (la machine).• Limitation des adresses IP et ports accessibles en fonction de l’identitéde l’utilisateur distant.• Cryptage des échanges.• Enregistrement horodaté des connexions.• Compatibilité avec le service M2Me_Connect qui permet de résoudreles cas où la connexion directe est impossible.Pour mettre en service la connexion distante des utilisateurs, il fautsuccessivement effectuer les étapes suivantes :• Etape 1 :configurer la communication distante. PPTP ou TLSou sélectionner le service M2Me_Connect• Etape 2 :enregistrer les utilisateurs autorisés dans la «liste d’utilisateurs »,• Etape 3 ::limiter le domaine d’adresse IP accessibles à chaque utilisateur au moyendu pare-feu.Page 44 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICENote :Pour permettre la connexion d’utilisateurs distants, le routeur RAS-AD2E peut égalementétablir un VPN vers un autre routeur RAS-AD2E placé sur le réseau du télémainteneur.Cette solution peut être mise en oeuvre facilement si le réseau du télémainteneur possèdeun point d’entrée avec une adresse IP fixe. Ce cas a été traité au paragraphe relatif àl’établissement de VPN vers un autre routeur.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 45

MISE EN SERVICE13 Connexions distantes de type PPTP ou TLS ou L2TP/IPSec13.1 Principe des connexions distantesUne connexion distante est un tunnel sécurisé établi entre un PC et lerouteur RAS-AD2E.Par rapport à la fonction de routage IP, la connexion distante de type RASprocure des avantages importants de sécurité et de simplicité :• La connexion distante permet d’assurer la sécurité de la transmission que nepeut offrir le simple routage IP :Identification de l’utilisateur distantLorsque le PC est connecté à l’Internet, par exemple, ou dans d’autres situation,l’adresse IP du PC distant est changeante ou même inconnue du routeur RAS-AD2E.l’adresse IP source ne constitue donc pas un bon critère d’identification.L’utilisation d’une connexion RAS PPTP ou TLS permet d’identifier son utilisateur parun login et un mot de passe ou même un certificat (TLS uniquement).Un certificat est un fichier d’identification enregistré dans le PC ; une empreinte digitale enquelle que sorte.Cryptage (TLS et L2TP/IPSec seulement)Le logiciel M2Me_Secure (et de manière plus générale tout client TLS) permetd’échanger des données cryptées avec le routeur RAS-AD2E.• La connexion distante simplifie la connexion :Attribution automatique d’une adresse IP du réseau localLe PC de l’utilisateur distant est téléporté sur le réseau local. Une foisidentifié, son PC reçoit automatiquement une adresse IP du réseaulocal.Page 46 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICECarnet d’adresseLe logiciel M2Me_Secure permet d’enregistrer le carnet d’adressesdes sites distants. Un clic suffit pour se connecter.Remarque :Le routeur bloque le trafic broadcast et multicast à l’exception du traficNetbios qui, lui, est autorisé.13.2 Types de connexions distantes3 types de VPN sont proposés : TLS/SSL., PPTP et L2TP/IPSec.Une fois l’un de ces types de VPN sélectionné, il s’applique à tous lesutilisateurs.Nous conseillons de mettre en oeuvre une connexion TLS et d’utiliser lelogiciel M2Me_Secure, le client VPN proposé par ETIC Telecom.13.3 Paramétrage d’une connexion distante de type TLSEtape 1 : Configuration du routeur• Sélectionner le menu« Configuration » puis« Liste d’utilisateurs »• Sélectionner le choix« TLS » du paramètre« Type de VPN » pourassurer la compatibilitéavec le logicielM2Me_Secure.• Cliquer le bouton « Propriétés ».Paramètres « Numéro de port » et « protocoles » :Choisir le protocole de transport du VPN (UDP ou TCP) ; UDP estpréférable à TCP.Le N° de port peut être quelconque mais la valeur doit être choisie parmicelles qui sont autorisés sur le réseau du client.Attention : Le numéro de port utilisé pour l’interconnexion de routeurs parVPN doit être différent du N° de port utilisé pour les connexionsd’utilisateurs distants TLS.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 47

MISE EN SERVICEParamètres « Authentification des utilisateurs» :Si l’on choisit la valeur « Login / mot de passe », l’authentification estréalisée à l’aide de ces deux codes uniquement.Si l’on choisit la valeur « Login / mot de passe et certificatnumérique», la sécurité est renforcée. Le PC distant est authentifié aumoyen du certificat enregistré dans le PC et l’utilisateur est identifié aumoyen du login et du mot de passe.Note : dans ce cas, le nom du certificat du PC de l’utilisateur devra êtreenregistré dans le routeur RAS-AD2E, dans la fiche de l’utilisateur.Paramètres « Algorithme de cryptage» et « Algorithme dehachage » :Laisser les valeurs par défaut.Etape 2 : Configuration du logiciel M2Me_Secure du PC• Cliquer l’icône « Menu » puis « Nouveau site ». La fenêtre deparamétrage du site apparaît.• Sélectionner l’onglet « Général », saisir le nom du site.• Sélectionner l’onglet « Connexion » ; cocher la case « Ce site estaccessible par Internet ».• Dans le champ « Nom d’hote ou adresse IP », saisir l’adresse IPpermettant d’atteindre le routeur.• Sélectionner l’onglet « Avancé » ; Choisir le protocole (UDP ou TCP),le N° du port et les algorithmes de cryptage et hachage.Ces paramètres doivent avoir la même valeur que ceux sélectionné dansle routeur.Page 48 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE13.4 paramétrage d’une connexion distante de type PPTPEtape 1 : Configurer le routeur• Sélectionner le menu« Configuration » puis« Liste d’utilisateurs »puis « Paramètres VPN »• Sélectionner le choixPPTP .Etape 2 : Configurer la connexion PPTP dans le PCVoir procédure en annexe 2.13.5 Paramétrage d’une connexion distante de type L2TP / IPSecA compléter.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 49

MISE EN SERVICE14 M2Me_Connect pour la prise en main de machine à distance14.1 PrésentationPrincipeIl arrive fréquemment que la connexion entre le PC et le routeur surl’Internet ne soit pas possible parce que ni le PC ni le routeur nedisposent d’adresses IP publiques, ou bien faute de pouvoir régler lerouteur d’entreprise ou bien faute d’autorisation.Le service M2Me_Connect permet de résoudre la difficulté : Grâce àM2Me_Connect, le PC se connecte à la machine pour une opération demaintenance par exemple, même si , ni le PC ni le routeur ne possèdentd’adresse publique.FonctionnementL’utilisateur du PC enregistre dans son logiciel M2Me_Secure le nom ducertificat d’authentification du routeur RAS-AD2E.Lorsque l’utilisateur ouvre son logiciel M2Me_Secure, son PC établitautomatiquement une connexion sécurisée vers le serviceM2Me_Connect. Il s’authentifie sur le service.De son côté, le routeur fait de même dés qu’il est sous tension.Une fois connectés au service, et après authentification réciproque, le PCet le routeur établissent un VPN de bout en bout.14.2 Paramétrage d’une connexion au service M2Me_ConnectPour paramétrer la connexion au service M2Me_Connect, il suffit deparamétrer le VPN établi depuis le routeur vers le service M2Me_Connectainsi que le VPN établi depuis le PC vers le service M2Me_Connect.Chacun de ces VPN peut être supporté soit par le protocole UDP soit parle protocole TCP.L’utilisation du protocole UDP plutôt que TCP est recommandée.Etape 1 : Paramétrage du routeurPage 50 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE• Sélectionner le menu « Configuration », « M2Me_Connect » puis « Connexion».Paramètre « Activer » :Cocher la case pour activer la connexion au service M2Me_Connect.Paramètres « Port TCP et paramètres « Port UDP » :Cocher tous les ports UDP ou TCP que le routeur peut tester afin detenter d’établir la connexion vers le service M2Me_Connect.Si un port UDP ou TCP unique a été autorisé, cocher la casecorrespondante ou bien saisir la valeur de ce N° de port TCP ou UDP.Note : L’utilisation du protocole UDP est préférable à TCP.• Si un serveur proxy filtre les connexions sortantes, cocher la case« Utiliser un serveur proxy » et saisir les paramètres de ce serveur :Paramètre « Serveur proxy » :Type (HTTPou SOCKS5),Adresses et N° de port,Login et mot de passe à fournir pour s’y présenter (éventuellement).• Tester la connexionPour commander la connexion du routeur au service M2Me_Connect,cliquer le bouton « Connecter maintenant ».Pour vérifier que la connexion s’effectue normalement, sélectionner lemenu « Diagnostic » puis « Etat réseau » puis « M2Me ».Lorsque la connexion aboutit, le message « Connecté » s’affiche dans lechamp « Etat » ainsi que le N° de port et le protocole utilisé.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 51

MISE EN SERVICEEtape 2 : Paramétrage du logiciel M2Me_Secure du PC distant• Ouvrir le logiciel M2Me_Secure et saisir l’identificateur et le mot depasse de l’utilisateur (c’est celui qui sera ensuite contrôlé par le routeurpour identifier l’utilisateur du PC).• Pour créer la connexion avec le site du routeur, cliquer l’icône« Menu » puis « Nouveau site ».• Sélectionner l’onglet « Général », et saisir le nom du site du routeur(ce libellé n’a qu’un rôle mnémonique).• Sélectionner l’onglet « Connexion » ; cocher les cases « Ce site estaccessible par Internet » et « Ce site est visible à travers le serviceM2Me ».• Saisir le code appelé « Product key » ; on le trouve dans le menu« A propos » du routeur.Il s’agit du résumé du certificat d’authentification enregistré dans lerouteur en usine; il permet au PC de s’adresser au routeur lorsque l’un etl’autre sont connectés au service M2Me_Connect.Page 52 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE15 Liste d’utilisateurs15.1 PrésentationLa liste d’utilisateurs du routeur RAS-AD2E enregistre l’identité de chaque utilisateurdistant autorisé à se connecter ainsi que ses paramètres (email…) et ses droits d’accèsaux machines du réseau local définis dans le firewall.Pour accéder à la liste d’utilisateurs,o sélectionner le menu « Configuration », puis «Utilisateursdistants», puis « Liste d’utilisateurs ».Chaque ligne de la liste comporte 2 champs : Le nom de l’utilisateur et lefiltre de pare-feu qui lui est affecté.A la livraison, la liste comporte l’utilisateur « Default user »Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 53

MISE EN SERVICEDont le login et le mot de passe sont : admin & admin.Le filtre « None » lui est affecté, ce qui signifie qu’il peut accéder sansrestriction à toutes les machines du réseau local.15.2 Définir des utilisateurs• Cliquer sur le bouton « Voir » ou bien sur « Modifier »Le paramètre « Actif » (valeur OUI ou NON) permet de retirertemporairement un utilisateur de la liste.Paramètre « Nom complet » :C’est le libellé qui apparaît dans le premier champ de la liste desutilisateurs autorisés. Il permet en particulier de garder la trace de chaqueconnexion de l’utilisateur dans le journal.Page 54 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICEParamètres « Nom d’utilisateur » et « mot de passe » :Ce sont deux codes différents attribués à chaque utilisateur. Lorsqu’il seconnecte à distance, il doit saisir ces deux codes dans les champscorrespondants de la fenêtre de CONNEXION DISTANTE.Le nom d’utilisateur n’a pas à être tenu secret ; il apparaît donc toujoursen clair.Le mot de passe doit être gardé secret par chaque utilisateur ; iln’apparaît jamais en clair.Paramètre « e-mail » :Il sera utilisé par le routeur soit pour transmettre un e-mail d’alarme à lasuite du passage en défaut de l’entrée TOR, soit lorsque l’utilisateursouhaite se connecter par l’Internet ; dans ce cas, l’adresse IP publiquedu routeur peut lui être transmise par e-mail.Paramètre « Filtre pare-feu » :Un filtre est un ensemble de règles de sécurité limitant l’accès auxmachines et services raccordées derrière le routeur. Un filtre peut êtreappliqué pour un ou plusieurs utilisateurs ce qui permet de différencier lesdroits d’accès aux machines en fonction de qui se connecte. Par défaut,rien n’est filtré.Paramètre »Certificat » :Ce paramètre n’apparaît que si l’on a choisi un VPN L2TP/IPSec ouTLS/SSL avec authentification par Certificat numérique. Il décrit leschamps du certificat qui doivent être contrôlés par le routeur.Certificate:Data:Version: 3 (0x2)Serial Number: 191 (0xbf)Signature Algorithm: sha1WithRSAEncryptionIssuer: C=FR, ST=Isere, L=Meylan, O=ETIC Telecommunications, OU=Security,CN=ETIC_Telecom_CA/emailAddress=Security@etictelecom.comValidityNot Before: Nov 22 14:46:58 2007 GMTNot After : Nov 14 14:46:58 2037 GMTSubject: C=FR, ST=Isere, L=Meylan, O=ETIC Telecommunications, OU=Security,CN=b4b4d3c9-b200-4869-8637-AD2edb3d421d55a/emailAddress=b4b4d3c9-b200-4869-8637-AD2edb3d421d55a@etictelecom.comSubject Public Key Info:Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 55

MISE EN SERVICE16 Interconnexion de routeurs au moyen de VPNs16.1 PrincipesConnexions VPNChaque connexion VPN est un tunnel établi entre deux routeurs.Un tunnel VPN permet de connecter deux réseaux de façon sûre et transparente.25 connexions VPN peuvent être créées.Une connexion peut être entrante ou sortante.Si c’est le routeur du site distant qui a l’initiative de la connexion, alors elleest appelée « connexion entrante » et le routeur distant est appelé« routeur client VPN ».Si c’est le routeur que l’on est en train de configurer qui a l’initiative de laconnexion, elle est appelée « connexion sortante » ; le routeur distant estappelé « routeur serveur VPN ».Type de VPN2 types de VPN peuvent être établis entre eux routeurs RAS-AD2E : IPSec ou TLS/SSL.Une fois un type de VPN sélectionné (IPSEC ou TLS/SSL, il s’applique àl’ensemble des connexions avec les sites distants.IPSecOn choisira IPSec pour assurer la compatibilité lorsque le routeurRAS-AD2E doit communiquer avec un routeur d’une autre marque.TLS/ SSLCe protocole offre plus de souplesse qu’IPSec ; en particulier lorsquele trafic VPN doit être routé au travers de routeurs intermédiaires.On le choisira lorsqu’il n’est pas nécessaire d’assurer la compatibilitéavec d’autres routeurs.ParamétragePour paramétrer l’interconnexion des sites, il faut procéder en deux étapes :Etape 1 : Configurer type de VPN qui sera utilisé (IPSec ou TLS/SSL).Etape 2 : Paramétrer les connexions distantes avec chacun des sites.Page 56 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

Pour accéder à la page de configuration des VPNs,MISE EN SERVICE• sélectionner le menu « Configuration », puis « Réseau », puis« Connexions VPN ».16.2 VPN IPSec16.2.1 Paramétrage du protocole IPSecDans la page « Connexion VPN,• Sélectionner le choix IPSec puis cliquer sur « Propriétés » pour réglerles paramètres.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 57

MISE EN SERVICEParamètre « Protocole » :Choisir de préférence ESP qui réalise le cryptage.Paramètre « Authentification par » :Elle peut être assurée soit par une clé pré partagée, soit par un certificatnumérique.La clé pré partagée est un code qu’utilise le routeur pour s’authentifier.La routeur RAS-AD2E peut utiliser la clé pour toutes les connexions (ycomprispour les connexions avec des utilisateurs distants) ou bien utiliserdes clés différentes.Le certificat est un fichier complexe qui est utilisé par les routeurs pours’authentifier.Paramètre « Valeur Clé » :Une clé doit être saisie uniquement si l’authentification par clé a été choisie.Si l’on utilise des clés différentes, le routeur doit posséder une adresse IPfixe ou bien un nom de domaine DYNDNS.Saisir la valeur de la clé qui identifie le routeur .Page 58 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

Paramètres « Authentification » et « Cryptage » :Sauf difficulté particulière, on sélectionnera le choix « Auto ».MISE EN SERVICELes algorithmes de cryptage et de hachage proposés sont tous d’un hautniveau de sécurité (par exemple l’ancien algorithme DES n’est pasproposé). Toutefois, AES offre une meilleure sécurité par rapport à 3DES,de même que SHA-1 par rapport MD5.Paramètre « DPD Keepalives » :Le VPN est entretenu périodiquement par chaque routeur ; pour ce faire,et en l’absence de données à émettre, chaque routeur transmet unetrame de maintien du VPN.Ce paramètre fixe la période d’envoi de la trame de maintien du VPN.Paramètre « Mort de la connexion » :Ce paramètre fixe le délai maximum d’attente d’un message Keep alive.Une fois ce délai échu, et en l’absence de réception du message Keepalive, le routeur coupe le VPN.ATTENTION : Une fois les paramètres IPSec configurés, cliquer surle bouton « OK » puis sur le bouton « Enregistrer » avant deconfigurer une connexion distante.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 59

MISE EN SERVICE16.2.2 Configurer une connexion IPSEC sortanteAdresse IPLANConnexionsortanteAdresse IPWANRouteurVPNRéseau IPAdresse IPLAN distantAdresse IPWAN distantRouteur distant• Cliquer sur le bouton « Ajouter une connexion » et choisir« Connexion sortante ».Paramètre „Adresse WAN distant“ :Saisir l’adresse Ip de l’interface WAN du routeur distant.Si le routeur distant est un autre routeur ADSL, cette adresse estl’adresse Internet du routeur distant, soit son nom de domaine.Page 60 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICEParamètres « Adresse LAN distante » et « masque du Lan distant »:Entrer l’adresse et le netmask du réseau LAN distant.Attention :Si le netmask vaut 255.255.255.0 par exemple, l’adresse du LAN distants’écrit X.Y.Z.0• Cas de l’authentification par clé partagéeSi la clé saisie lors de la configuration du type de VPN (IPSec) doit êtreutilisée pour la connexion VPN en cours de paramétrage, aucuneconfiguration complémentaire ne doit être effectuée.Si une autre clé doit être utilisée, cocher la case « Utiliser une cléspécifique pour cette connexion » et compléter le paramétrage selon lesindications ci-dessous :Paramètre „Valeur clé“ :Saisir la clé.Paramètre „Mon adresse IP WAN“ :Saisir l’adresse IP du routeur sur l’interface ADSL (Internet).• Cas de l’authentification par certificatParamètre „Mon SubjectAlt Name :Saisir le champ « Adresse email du propriétaire» du certificat du routeurdont le paramétrage est en cours. Ce paramètre est utilisé par le routeurpour s’authentifier.Pour obtenir la valeur de ce champ du certificat, sélectionner le menu« Sécurité » puis « Certificat X509 ».La liste des certificats enregistrés s’affiche ; cliquer « Afficher ».Le résumé du certificat s’affiche ; copier le champ « Adresse email » del’alinéa « Propriétaire ».Attention :Après avoir collé ce champ, supprimer le denier caractère collé et le saisirà nouveau pour que le certificat soit pris en compte.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 61

MISE EN SERVICEParamètre „SubjectAlt Name distant :Saisir la valeur du champ « email» de l’alinéa Propriétaire » du certificatdu routeur distant.Pour obtenir la valeur de ce champ, accéder au routeur distant etprocéder comme pour le paramètre précédent.16.2.3 Configurer une connexion IPSec entranteAdresse IPLANConnexionentranteAdresse IPWANRouteurVPNRéseau IPAdresse IPLAN distantAdresse IPWAN distantRouteur distant• Cliquer sur le bouton « Ajouter une connexion » puis choisir« Connexion entrante ».Page 62 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICEParamètres « Adresse du réseau LAN distant » et « Masque duréseau LAN distant » :L’adresse et le masque de sous-réseau LAN distants correspondent àceux du réseau local des machines distantes.Attention :Si le netmask vaut 255.255.255.0 par exemple, l’adresse du LAN distants’écrit X.Y.Z.0• Cas de l’authentification par clé pré partagée :Si la clé saisie lors de la configuration du type de VPN (IPSec) doit êtreutilisée pour la connexion VPN en cours de paramétrage, aucunparamétrage complémentaire ne doit être effectué.Si une autre clé doit être utilisée, cocher la case « Utiliser une cléspécifique pour cette connexion » et compléter le paramétrage selon lesindications ci-dessous :Paramètre „V aleur clé“ :Saisir la clé.Paramètre „Mon adresse IP WAN“ :Saisir l’adresse IP du routeur sur l’interface WAN (adresse Internet).Paramètre „Adresse IP WAN distante“ :Si le routeur distant est un autre routeur ADSL, cette adresse estl’adresse Internet du routeur distant, soit son nom de domaine.• Cas de l’authentification par certificat :Paramètre „Mon SubjectAlt Name :Il s’agit du champ « email » du certificat du routeur dont le paramétrageest en cours.Ce paramètre est utilisé par le routeur pour s’authentifier.Pour obtenir la valeur de cette adresse email, sélectionner le menu« Sécurité » puis « Certificat X509 ».La liste des certificats enregistrés s’affiche ; cliquer « Afficher ».Le résumé du certificat s’affiche ; copier le champ « Adresse email » del’alinéa« Propriétaire ».Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 63

MISE EN SERVICEAttention :Après avoir collé ce champ, supprimer le denier caractère collé et le saisirà nouveau pour qu’il soit pris en compte.Paramètre „SubjectAlt Name distant :Saisir le champ « email » du certificat du routeur distantCe paramètre est utilisé par le routeur distant pour s’authentifier.Pour obtenir cette adresse, accéder au routeur distant et procéder commepour le paramètre précédent.16.3 Connexion TLS16.3.1 Paramétrage du protocole TLS / SSLSi l’on choisit un tunnel TLS / SSL, l’authentification réciproque desrouteurs est assurée au moyen des certificats numériques complétés pardes codes appelés Login et mot de passe.Des certificats numériques spécifiques peuvent être ajoutés ; néanmoins,pour faciliter les opérations, le routeur RAS-AD2E est livré avec uncertificat unique chargé en usine.Pour paramétrer le type de VPN « TLS »,• sélectionner le menu « Réseau » puis « Connexions VPN ».• Choisir le type de VPN « TLS », puis cliquer sur le bouton« Propriétés ».Paramètres «Numéro de port» et « protocole» :On choisira de préférence le protocole UDP plutôt que TCP pour unemeilleure efficacité.Attention :Le numéro de port utilisé pour l’interconnexion de routeurs par VPN doitêtre différent du N° de port utilisé pour les connexions d’utilisateursdistants.Paramètres « Adresse réseau VPN » et masque réseau VPN :Le tunnel VPN une fois établi est équivalent à une liaison par câbleethernet. Chaque extrémité du tunnel doit avoir une adresse IP. Il s’agitd’une adresse IP appartenant à un réseau privé et nécessaire pour lePage 64 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICEfonctionnement du tunnel, mais non visible pour les applications. Cetteadresse IP ne doit pas être confondue avec l’adresse IP du routeur sur leréseau IP. Cette valeur est utilisée seulement lors de la configuration d'unnœud entrant.Adresse IPLANAdresse IPdu réseau VPN(172.16.1.0 par défaut)VPNIP networkAdresses IPdes interfaces WANAdresse IPLANParamètre « délai de détection » :Le VPN est entretenu périodiquement par chaque routeur ; pour ce faire,et en l’absence de données à émettre, chaque routeur transmet à l’autreune trame de maintien du VPN.A l’issue du « délai de détection », et en l’absence de réception de cettetrame, le VPN est coupé.Paramètre «A compléterDélai de retransmission » :Paramètres « Algorithmes de cryptage et de hachage » :Les algorithmes de cryptage et de hachage proposés sont tous d’un hautniveau de sécurité (par exemple l’ancien algorithme DES n’est pasproposé). Toutefois, AES offre une meilleure sécurité par rapport à 3DES,de même que SHA-1 par rapport MD5.ATTENTION : Une fois les paramètres TLS configurés, cliquer sur lebouton « OK » puis sur le bouton « Enregistrer » avant de configurer unnœud distant.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 65

MISE EN SERVICE16.3.2 Configurer une connexion TLS sortanteAdresse IPLANConnexionsortanteAdresse IPWANRouteurVPNRéseau IPAdresse IPLAN distantAdresse IPWAN distantRouteur distant• Sélectionner le menu « Réseau » puis « Connexions VPN ».• Cliquer sur le bouton « Ajouter une connexion ».• Choisir « Connexion sortante ».Paramètre « Identifiant et mot de passe » :Indiquer l'identifiant et le mot de passe qui seront utilisés pours'authentifier auprès du nœud distant en complément du certificat.Paramètre „Adresse WAN distante“ :L’adresse WAN distante est soit l’adresse IP fixe Internet du routeurdistant, soit son nom de domaine sur DynDns.org.Page 66 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE16.3.3 Configurer une connexion TLS entrante• Sélectionner le menu « Réseau » puis « Connexions VPN »..• Cliquer sur le bouton « Ajouter une connexion».• Choisir « Connexion entrante ».•Adresse IPLANConnexionentranteAdresse IPWANRouteurVPNRéseau IPAdresse IPLAN distantAdresse IPWAN distantRouteur distantParamètre « Identifiant et mot de passe » :Indiquer l'identifiant et le mot de passe du routeur distant.Paramètre « Adresse LAN distante » :Saisir l’adresse du réseau LAN distant et le masque de ce réseau.Attention : Si le masque est 255. 255.255.0, l’adresse IP saisie doitêtre de la forme X.Y.Z.0.Paramètre « Nom commun » :Entrer la chaîne de caractère "Nom courant" du certificat que le routeurdistant devra utiliser pour s'identifier.On trouve le « nom courant » au menu « Sécurité » puis « Certificat ».Dans cette page, copier la chaîne comprise entre « délivré à » et « parETIC TELECOM ».Puis coller la chaîne de caractères dans le champ « Nom commun » dela fenêtre de connexion distante.Enfin, pour valider la saisie, effacer le dernier caractère collé puis lesaisir à nouveau au moyen du clavier.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 67

MISE EN SERVICE17 Routage17.1 Fonctions de baseLe routeur R2 (voir schéma ci-dessous) est prêt à effectuer sa fonction derouteur entre le réseau LAN et l’Internet dés qu’on lui a attribué uneadresse IP sur l’interface LAN (ici 192.168.2.128) et une autre surl’Internet et que l’on a configuré la connexion Internet.RéseauLAN distant192.168.5.0RL1192.168.5.128Routeur R3192.168.4.128InternetVPNRéseau IP192.168.3.128W1192.168.2.128Routeur R2Réseau LAN192.168.2.0L1Pour que le routage s’effectue, Il faut cependant enregistrer dans chaquemachine du réseau LAN l’adresse LAN du routeur RAS-AD2E en tant« routeur par défaut ».Le routeur R2 peut alors router des trames IP entre le réseau «LAN» et leréseau LAN distant au travers du VPN s’il a été défini; par exemple entrela machine RL1 et la machine L1 du schéma ci-dessus. En effet, pardéfaut, le firewall autorise le transfert entre les deux réseaux si un VPNrelie les routeurs.Par contre, par défaut, les paquets IP émis par la machine W1 depuisl’internet sont bloqués par le firewall.Page 68 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE17.2 Route statiqueAprès avoir configuré ses adresses LAN et WAN et défini la connexionVPN, le routeur R2 (voir schéma ci-dessus) peut router les trames entrele réseau LAN et le WAN et inversement, ainsi qu’entre le LAN et leréseau Remote LAN et inversement au travers du VPN.Mais il ne peut pas router des trames entre le LAN et un réseau connectéau réseau LAN distant (réseau 6 du schéma ci-dessous).La raison de cette difficulté est que le réseau 6 n’est pas connu du routeurR2.La déclaration de routes statiques permet de résoudre ce problème.Une route statique associe l’adresse d’un routeur voisin à une adresse IPde réseau de destination (adr. Réseau = adr. de base + netmask).Réseau 6192.168.6.0Réseau 1192.168.1.0RéseauLAN distant192.168.5.0RL1192.168.6.24 192.168.1.24RouteurRouteur R1R4192.168.4.128 192.168.3.128 192.168.2.128192.168.5.1 192.168.2.1Routeur R3192.168.5.128InternetVPNRéseau IPInternetW1Routeur R2Réseau LAN192.168.2.0L1On décrit ci-dessous les routes statiques qui doivent être enregistréesdans le routeur R2 pour que tous les équipements de chacun des réseauxpuissent échanger des paquets IP.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 69

MISE EN SERVICERoute statique à enregistrer dans le routeur R2Active Nom de la Destination Masque de PasserellerouteréseauOui Vers Réseau 6 192.168.6.0 255.255.255.0 192.168.5.1Oui Vers Réseau 1 192.168.1.0 255.255.255.0 192.168.2.1Oui Vers RéseauWAN distant192.168.4.0 255.255.255.0 192.168.5.128De la même façon, il faut enregistrer des routes dans les routeurs R1, R3et R4.Remarque :Il n’est pas nécessaire d’enregistrer dans R2 une route vers le réseauWAN ni vers le réseau LAN distant; en effet, R2 les connaît puisquel’adresse et le netmask du réseau WAN ainsi que l’adresse du réseauLAN distant ont été déclarés au cours de la configuration.Pour programmer une route statique,• sélectionner le menu « Configuration », puis « Routage » puis« Route statique » puis cliquer « Ajouter une route ».Nom de la route :Entrer un mnémonique pour désigner la route.Adresse IP de destination & netmask :Entrer l’adresse IP du réseau de destination et le netmask de ce réseau.Passerelle :Saisir l’adresse IP de la passerelle (routeur) permettant l’accès à ceréseau.17.3 Protocole RIPRIP (Routing Information Protocol) est un protocole de routage IP quipermet à chaque routeur d’un réseau de connaître la route menant à unsous réseau quelconque de ce réseau.Le principe utilisé est le suivant :Page 70 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICEDiffusion des tables de routageChaque routeur transmet aux routeurs voisins et aux écouteurs RIPvoisins, la table qui associe à chaque destination du réseau l’adresse durouteur voisin menant à cette destination ainsi que la métrie de la routepour y parvenir.Mise à jour des tables de routageChaque routeur met à jour sa propre table au moyen des informationsreçues des autres.Le protocole RIP permet d’éviter de déclarer les routes statiques danschacun des routeurs.Prenons l’exemple du réseau du paragraphe précédent ; au lieu dedéclarer les routes statiques dans les routeurs R1, R2, R3 et R4, i lestpossible d’activer le protocole RIP dans chacun des routeurs.Pour activer le protocole RIP,• sélectionner le menu « Configuration », puis « Routage » puis« RIP».Cocher les cases «Activer RIP sur l'interface LAN » et la case Activer RIP surl'interface WAN ».Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 71

MISE EN SERVICE18 Substitution d’adresses (NAT & Redirection de port)Le routeur RAS-AD2E offre différentes fonction de substitutiond’adresses IP.Ces fonctions consistent à remplacer l’adresse IP et le port source oudestination de certaines trames IP traitées par le routeur.Les possibilités offertes sont les suivantes :18.1 Translation d’adresse (NAT)Cette fonction s’applique aux trames IP issues d’un équipement duréseau LAN et destinées au réseau WAN.Elle consiste à remplacer l’adresse IP source (celle de l’équipement duLAN) par l’adresse IP WAN du routeur et à effectuer l’opération inversepour les trames de réponse.Cette fonction est utile lorsque les équipements du LAN doiventéchanger des trames avec l’Internet.Pour activer la fonction NAT,• sélectionner le menu « Configuration » puis « Interface WAN », puis« Protocole IP ».• Cocher la case « Activer la translation d’adresse NAT ».18.2 Redirection de port (port forwarding)18.2.1 PrincipeLa redirection de port consiste à transférer vers une machine définie duréseau LAN, un trafic adressé au routeur RAS-AD2E sur un portparticulier.Elle s’applique aux trames adressées au routeur RAS-AD2E surl’interface WAN.Le critère de « redirection » est le N° du port utilisé ; le mécanismeconsiste à utiliser le N° de port de destination comme un complémentd’adresse IP :Page 72 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICEUne trame IP adressée sur l’interface WAN au routeur RAS-AD2E sur leport déterminé P1 (ou un ensemble de ports) peut être redirigée vers unéquipement déterminé du réseau LAN en modifant éventuelement le N°de port.Le mécanisme de redirection de port décrit ci-dessus permet derésoudre le cas où un équipement appartenant au réseau WAN veutéchanger des trames IP avec une ou des équipements du réseau LANalors que les adresses du réseau LAN ne peuvent être transportéesdans le réseau WAN.La vraie solution à ce problème est d’établir un VPN ; mais lorsque cen’est pas possible la redirection de port apporte la solution.Exemple :Considérons un réseau 1 et un réseau 2 connectés par un routeur RAS-AD2E selon le schéma ci-dessous.Supposons1/ que le PC « W1 » du réseau WAN ait à échanger des trames avecl’équipement PLC1 du réseau LAN.2/ que les adresses du réseau LAN ne puissent pas circuler sur le réseauWAN, quelle que soit la raison.La solution la plus performante serait d’établir un VPN qui assurerait à la fois latransparence et la sécurité ; si ce n’est pas possible, on peut procéder comme suit :adr IP Internet :62.10.10.7PLC1 192.168.0.15TCP : 102W1InternetRéseau IP62.10.10.7TCP : 102PLC2 192.168.0.16TCP : 502PC 192.168.0.17TCP : 80Lorsque le PC « W1 » doit adresser une trame à l’équipement « PLC1 »du réseau LAN, il l’adresse à l’adresse IP WAN du routeur RAS-AD2E(62.10.10.7 dans notre exemple) et sur le port 102 (par exemple).Le routeur RAS-AD2E analyse la trame, modifie l’adresse IP dedestination et éventuellement le N° de port, puis route la trame vers leRouteur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 73

MISE EN SERVICEréseau LAN.Port (destination)RedirectionService Device Service102 192.168.0.15 102502 192.168.0.16 50280 192.168.0.17 80Note :Les trames IP « redirigées » sont transférées directement àl’équipement choisi sans passer par le filtre principal du firewall.18.2.2 ConfigurationPour programmer une règle de redirection de port,• Sélectionner le menu « Configuration » puis « Réseau », puis« Routage » et « Redirection de port ».• Saisir les caractéristiques des trames qui doivent être redirigées : N°de port (de destination), protocole de transport (TCP, UDP…), adresseIP source (optionnelle).• Saisir les caractéristiques des trames modifiées : Adresse IP et N° deport de destination, et protocole de transport(TCP, UDP…).Page 74 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE19 Configuration du pare-feu19.1 Présentation du pare-feuLe pare feu a pour but de filtrer les échanges de trames IP entrel’interface WAN et l’interface LAN pour protéger les équipementsconnectés au réseau LAN.Il comporte trois parties :• Le filtre principalIl filtre les trames IP en fonction de l’adresse IP et du port source et del’adresse IP et du port destination.Ce filtrage s’applique aux trames véhiculées dans les VPN (PPTP,TLS, IPsec) ou hors des VPN.Pour une meilleure organisation, il comporte deux filtres séparés :Le filtre qui agit sur les trames IP véhiculées dans les VPNLe filtre qui agit sur les trames IP véhiculées hors des VPNNote : La fonction dite de redirection de port qui renvoie le trafic destinéau routeur sur l’interface WAN (Internet) vers une adresse IP particulièrede l’interface LAN sur le critère de N° de port, n’est pas soumise au filtreprincipal.• Les filtres d’«Utilisateur distant »Ils permettent d’autoriser ou d’interdire l’accès à chaque équipementconnecté à l’interface LAN en fonction de l’identité de l’utilisateurdistant (Login et mot de passe et éventuellement certificat) lorsqu’il seconnecte au moyen de la connexion PPTP ou TLS.Par exemple, on peut attribuer à l’utilisateur de login « admin » et demot de passe « admin » un filtre bloquant toutes les trames issues deson PC sauf celle qui sont adressées à un équipement particulier del’interface LAN.• Le filtre de « déni de Service »Le filtre de déni de service (DoS) protège les équipements de l’interfaceLAN contre les attaques par saturation pouvant provenir de l’interfaceWAN : Ping de la mort, SYN floodCe filtre est prédéfini et n’est pas configurable par l’utilisateur. Il toujoursopérationnel sur l’interface WAN.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 75

MISE EN SERVICEVPN utilisateursFiltresutilisateursVPN sites distantsInternetFiltreprincipalLANFiltreDoSRedirectionde portFIRE-WALLA la livraison, le firewall …… autorise un utilisateur distant authentifié à échanger des paquets IPavec toutes les machines du réseau LAN.… autorise le transfert des paquets IP provenant d’un réseau LAN distantvers le réseau LAN – et réciproquement, lorsqu’ils sont véhiculés dansun VPN établi avec un autre routeur.… interdit le routage des paquets IP provenant de l’Internet vers leréseau LAN lorsqu’ils ne sont pas véhiculés dans un VPN.Page 76 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE19.2 Filtre principal19.2.1 Présentation• Trames IP filtrées par le filtre principalLe filtre principal s’applique aux trames IP véhiculées dans les VPN ou àl’extérieur des VPN.Le filtre principal ne s’applique pas aux trames IP véhiculées dans lesconnexions d’utilisateurs distants que ce soit PPTP ou TLS.Pour reconnaître une connexion d’utilisateur distant de type TLS, lerouteur détecte le N° de port : Si le N° de port détecté est le N° déclarépour ce type de connexion (menu « Liste d’utilisateurs »), la connexionest considérée comme une connexion d’utilisateurs distants ; les filtresd’utilisateurs s’appliqueront alors.On veillera donc à choisir un N° de port différent pour les connexions TLSd’Utilisateur et les connexion VPN TLS entre routeurs.• Structure du filtre principalPour une meilleure organisation, il comporte deux filtres séparés mais destructure identique :Le filtre intitulé VPN : il agit sur les trames IP véhiculées dans les VPNLe filtre intitulé WAN : Il agit sur les trames IP véhiculées hors des VPNChacun d’eux est constituéd’une politique par défautetd’un tableau dont chaque ligne est une règle de filtrage.• Politique par défaut :C’est l’action qui sera appliquée à une trame qui n’est conforme à aucunerègles du tableau.On considère séparément les deux directions de trafic car on peutsouhaiter que la décision prise soit différente selon qu’un paquet provientdu LAN ou du WAN.On peut souhaiter, par exemple que la politique par défaut interdise leroutage « WAN vers LAN » mais autorise le routage « LAN vers WAN ».Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 77

MISE EN SERVICELa politique par défaut prudente consiste à interdire le trafic WAN versLAN et éventuellement LAN vers WAN ; de cette façon, toute trame qui nese conforme pas à l’une des règles du filtre est bloquée.En effet, supposons que la politique par défaut consiste à autoriser letrafic WAN vers LAN ; alors tout flux IP qui ne serait conforme à aucunedes règles du filtre principal, serait routée vers le LAN.• Tableau de règles du filtreLe filtre principal est un tableau ; chaque ligne est une règle de filtrage.Chaque règle définit une action (autoriser ou interdire) associée à un fluxIP défini par les différents de la ligne :Direction (« LAN vers WAN » ou « WAN vers LAN »),protocole (TCP, UDP…),@IP et port source@IP et port destinationVoici un exemple de filtre qui autorise deux équipements du réseau WAN(192.168.2.X) à accéder à un équipement particulier du réseau LAN.Tout autre flux du WAN vers le LAN est interdit.Politique par défaut :LAN -> WAN : AutoriserWAN -> LAN : interdireDirection Action Protocole @ IP source port src @IPdestination port destWAN->LAN Autoriser any 192.168.2.1 any 192.168.1.12 anyWAN->LAN Autoriser TCP 192.168.2.2 any 192.168.1.12 502• FonctionnementLorsque le firewall reçoit une trame IP, il vérifie successivement laconformité aux règles du filtre.Si la trame n’est pas conforme à la première règle, elle est soumise à lasuivante et ainsi de suite.Dés qu’elle est conforme à une règle du tableau, le firewall lui appliquel’action associée (autoriser ou interdire).Si la trame n’est conforme à aucune règle, la politique par défaut lui estappliquée (autoriser ou interdire).Page 78 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE19.3 Configuration des filtres utilisateursEtape 1 : Compléter la liste des services si nécessaireNote importante : de nombreux services sont créés en usine, tel quehtml, ftp etc…, si bien que dans la plupart des cas, cette étape peutêtre passée.• Sélectionner le menu « Configuration », « Système » puis « Liste desservices » ; la liste des services déjà enregistrés s’affiche.• Ajouter un nouveau service en cliquant le bouton « Ajouter unservice » en bas de l’écran.• Enregistrer un libellé (le nom que vous souhaitez donner au service),sélectionner un protocole dans la liste proposée (udp, tcp, icmp) etdésigner le N° de port attribué à ce service.• Valider. Le service qui vient d’être créé apparaît maintenant dans laliste des services.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 79

MISE EN SERVICEEtape 2 : Définir la liste des machines du réseau local• Sélectionner le menu « Système » puis « Liste des machines » ; laliste des machines déjà enregistrés s’affiche.• Ajouter une nouvelle machine en cliquant le bouton « Ajouter unemachine » en bas de l’écran.• Enregistrer un libellé (le nom que vous souhaitez donner à lamachine) et saisir son adresse IP.• Valider. La machine qui vient d’être définie apparaît maintenant dansla liste des machines.Remarque : Après cette étape, il est nécessaire de redémarrer le routeur.Etape 3 : Composer un filtre Utilisateur• Sélectionner le menu « sécurité » puis « pare-feu « puis « FiltresUtilisateurs» ; la liste des filtres déjà enregistrés s’affiche.• Créer un nouveau filtre en cliquant le bouton « Nouveau filtre ».Page 80 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE• Saisir un libellé (le nom que vous souhaitez donner au filtre) ;exemple de libellé : Accès au serveur web de l’automate N°1• Cliquer sur le bouton radio « On désigne ce que l'on autorise et tout le reste estinterdit» si vous souhaitez que chaque règle désigne ensuite une machineexplicitement autorisée ; c’est la solution prudente.• Cliquer sur le bouton radio « On désigne ce que l'on interdit et tout le reste estautorisé» si vous souhaitez que chaque règle désigne ensuite une machine interdite.• Cliquer sur le bouton « ajouter une règle » ; une ligne s’ajoute dans le tableau dufiltre.• Sélectionner une machine (autorisée ou interdite selon le cas) puis un service.• Ajouter autant de règles que nécessaire en cliquant sur « ajouter une règle ».• Lorsque le filtre est complet, valider en cliquant le bouton OK puis sauvegarder. Laliste actualisée des filtres s’affiche.Etape 4 : Affecter les filtres aux utilisateursUne fois la liste de filtres composée, il faut les rendre actifs en lesaffectant aux utilisateurs.• Sélectionner le menu «Configuration» puis « Utilisateurs ».Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 81

MISE EN SERVICE• Sélectionner l’utilisateur de la liste auquel vous souhaitez affecter unfiltre, en cliquant le bouton « Modifier » ; la fiche de l’utilisateurapparaît.• Lui affecter un filtre en sélectionnant l’un des filtres proposés etvalider par « OK ».• Sauvegarder la liste d’utilisateurs modifiée en cliquant « sauvegarderla liste ».Page 82 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE20 Configuration des passerelles série20.1 Présentation des types de passerellesCertains modèles du routeur comportent 2 liaisons série : Soit 2 RS232,soit 1 RS232 et 1 RS485.Une passerelle peut être affectée à chaque liaison série.Une passerelle série permet d’utiliser le réseau IP pour fairecommuniquer des équipements série entre eux ou bien avec deséquipements IP.• Communication entreéquipements à interface série• Communication avec uneapplication sur PC windows prévueinitialement pour dialoguer par laliaison série.Le logiciel d’émulation de portCOM Be-IP est une passerellesoftware qui permet d’utiliser surun réseau IP un logicield’application conçu initialementpour communiquer sur une liaisonsérie.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 83

MISE EN SERVICE• Communication avecapplication sur PC capabled’empaqueter un protocole sériedans UDP ou TCP (modbusTCP par exemple)Pour réaliser les fonctions décrites ci-dessus et s’adapter aux différentessituations qu’il est possible de rencontrer, différents types de passerellessont proposées :er1type : Passerelle ModbusCe type de passerelle permet de raccorder à la liaison série unéquipement modbus maître, ou bien des équipements modbus esclavesou bien les deux, pour les faire communiquer avec d’autres équipementsmodbus TCP ou modbus asynchrones connectés au réseau IP.2eme type : Passerelle transparente point à pointCette passerelle est appelée RAW client ou RAW serveur ; elle permetde relier un équipement série à un autre équipement série utilisant lemême type de passerelle à travers le réseau IP.3eme type : Passerelle de diffusion vers un ensemble d’abonnés IPRAW UDP)Cette passerelle est appelée RAW UDP client ou RAW UDP serveur ;elle permet de relier entre eux un groupe d’équipements série et unensemble d’équipements du réseau IP désignés lors de la configuration.Cette solution est très simple de mise en œuvre ; on désigne chaquecorrespondant par son adresse IP; les données série sont envoyées sousforme de datagrammes UDP à chaque correspondant IP enregistré ;réciproquement, les données reçues par la passerelles au N° de portconvenu, sont transmises sur la liaison série.4eme type : Passerelle TelnetCette passerelle permet à un PC sur le réseau IP et équipé d’un logicielclient Telnet de se connecter à un équipement serveur Telnet raccordé àla liaison série du switch XSLAN.Le débit et le format de la liaison série peuvent être pilotés selon larecommandation RFC2217.Page 84 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE20.2 Passerelle ModbusLa passerelle Modbus permet de connecter des équipements sérieRS232-RS485 esclaves ou maître à un ou plusieurs équipementsmodbus TCP (clients ou serveurs selon le cas) connectés au réseau IP.20.2.1 DéfinitionsUn client TCP MODBUS est un équipement connecté au réseau IP etcapable de transmettre une requête Modbus (= question ; par ex.demande de lecture ou d’écriture) à un autre équipement du réseauappelé serveur TCP MODBUS qui lui répondra.Le client est l’équivalant d’un maître Modbus, mais plusieurs clientspeuvent poser des questions au même serveur.Un serveur TCP MODBUS est un équipement connecté au réseau IP etcapable de répondre à une requête Modbus posée par un autreéquipement du réseau appelé client TCP MODBUS.Le serveur est l’équivalant d’un esclave Modbus ; mais un serveur peutrépondre à plusieurs client.Un maître Modbus est un équipement connecté à la liaison série RS232ou RS485 et capable de poser une requête Modbus à un autreéquipement du réseau appelé esclave MODBUS.Un esclave Modbus est un équipement connecté à la liaison sérieRS232 ou RS485 et capable de poser une question Modbus à un autreéquipement du réseau qui est appelé esclave MODBUS.Adresse Modbus : Elle code entre 0 et 255 le destinataire d’une requêtemodbus adressée à un serveur modbus (réseau IP) ou à un esclavemodbus (liaison série).Attention : Ne pas confondre adresse modbus et adresse IP.Pour plus de concision le mot « adresse » est souvent remplacé par lesigne @ dans la suite du texte.20.2.2 Choix de la passerelle Client ou de la passerelle Serveur• Pour connecter des équipements «série» esclaves modbus à un ouplusieurs équipements TCP modbus client, sélectionner le menupasserelle « Modbus serveur ».Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 85

MISE EN SERVICE• Pour connecter un équipement «série» maître modbus à un ouplusieurs équipements TCP modbus serveur, sélectionner le menupasserelle « Modbus client ».20.2.3 Affectation d’une passerelle modbus à un port sérieLa passerelle modbus client (respectivement serveur) peut être affectéeau port série COM1 ou au port série COM2.Si l’on veut affecter la passerelle série Modbus client (respectivementmodbus serveur) aux ports COM1 et COM2 à la fois, deux numéros deports TCP différents doivent être paramétrés.La passerelle modbus client peut être affectée à un port série (COM1 parex) tandis que la passerelle Modbus serveur est affectée à l’autre portsérie (COM2 par ex.).20.2.4 Passerelle modbus clientLa passerelle modbus clientpermet la connexion d’un maîtremodbus sur la liaison série.Plusieurs serveurs TCP modbuspeuvent être adressés sur leréseau iP.D’autres esclaves peuvent êtreconnectés à la liaison série.Principe de la passerelle modbus Client :Pour adresser un serveur TCP modbus sur le réseau IP, on configure unetable de correspondance entre une @ modbus esclave et une @ IP ;ainsi, lorsque le maître modbus transmet une requête à destination del’esclave d’@ modbus A, le tableau de correspondance permet detransmettre cette requête à l’@ IP correspondant à l’@ A .Page 86 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICEDe plus, le champ adresse modbus de la trame modbus TCP prend lavaleur A.Le tableau de correspondance peut comporter 32 lignes permettant ainsià un maître modbus d’adresser 32 serveurs sur le réseau IP.Configuration de la passerelle modbus Client :• Sélectionner le menu « Passerelle IP-RS », puis cliquer le menu« Modbus » puis « Modbus client ».• Cocher « activer la passerelle ».Paramètre « Sélection du port » :Choisir la liaison série 1 ou 2 du routeur.Bouton « COM » :Permet de configurer les paramètres débit et format de la liaison série.Paramètre « Protocole Modbus » :Sélectionner RTU (hexadécimal) ou ASCII selon le besoin.Paramètre « Temps inter caractères » :Fixe le temps maximum admissible entre caractères des réponses del’esclave modbus.Paramètre « Timeout d'inactivité sur TCP » :Fixe le temps au bout duquel la liaison TCP est rompue en cas d’absencede requêtes modbus reçues du réseau IP.Paramètre « Numéro du port TCP » :Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 87

MISE EN SERVICEFixe le N° du port TCP à utiliser. Le N° de port modbus par défaut est502.Tableau de correspondance :Le tableau de correspondance permet de faire correspondre une adressed’esclave modbus et une adresse IP.20.2.5 Passerelle modbus serveurLa passerelle permet la connexiond’esclaves modbus sur la liaisonsérie.32 esclaves, au maximum, peuventêtre connectés au port RS485.Un client TCP modbus adresse une requête TCP modbus à lapasserelle ;La passerelle se comporte en maître sur la liaison série.Elle « répète » la requête sur la liaison série ; l’adresse de la requêteémise sur la liaison série est,Page 88 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE• soit l’adresse contenue dans le champ d’adresse modbus TCP, dansce cas, plusieurs esclaves peuvent être adressés sur la liaison série :• soit une adresse fixe configurée dans la passerelle (voir ci-dessous) ;dans cas, un seul esclave peut être adressé sur la liaison série :Attention : Plusieurs client TCP modbus peuvent adresser des requêtesaux esclaves de la liaison série. Néanmoins, on prendra garde à ne passaturer la liaison série puisque son débit est bien inférieur à celuid’ethernet.Configuration de la passerelle Modbus serveur :• Sélectionner le menu « Passerelle IP-RS », puis cliquer sur« Modbus », puis « Modbus serveur ».• Cocher « activer la passerelle ».Paramètre « Sélection du port » :Choisir la liaison série 1 ou 2 du routeur.Bouton « COM » :Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 89

MISE EN SERVICEPermet de configurer les paramètres débit et format de la liaison série.Paramètre « Protocole Modbus » :Sélectionner RTU (hexadécimal) ou ASCII selon le besoin.Paramètre « Activer la fonction proxi-cache » :Si cette fonction est active, une requête n’est adressée à un esclave quesi la même requête ne lui a pas été adressée depuis le temps fixé par leparamètre « rafraîchissement du cache.Paramètre « Rafraîchissement du cache » :Fixe le délai minimum entre deux requêtes identiques adressées aumême esclave.Paramètre « Temps d’attente réponse esclave » :C’est le délai d’attente de réponse à la requête adressée à un esclave.Paramètre « Nombre de réitérations » :Fixe le nombre de réitérations d’une requête modbus par le routeur encas de non réponse de l’esclave modbus.Paramètre « Temps inter caractères » :Fixe le temps maximum admissible entre caractères des réponses del’esclave modbus.Paramètre « Adresse esclave Modbus » :Si la valeur « spécifiée par le client modbus » est sélectionnée, lapasserelle utilise l’adresse modbus spécifiée par le client modbus pouradresser l’esclave modbus de la liaison série ; on peut ainsi adresserjusqu’à 32 esclaves de la liaison série.Si l’on sélectionne une valeur particulière (entre 1 et 255), la passerelleadresse toutes les requêtes au N° d’esclave sélectionné ; on ne peutinterroger qu’un seul esclave sur la liaison série.Paramètre « Time out d'inactivité sur TCP » :Fixe le temps au bout duquel la liaison TCP est rompue en cas d’absencede requêtes modbus reçues du réseau IP.Paramètre « Numéro du port TCP » :Fixe le N° du port TCP à utiliser ; le port par défaut est 502.Page 90 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE20.3 Passerelle « TCP RAW »20.3.1 Passerelle « TCP RAW » clientElle permet de raccorder un équipement se comportant en « maître » surla liaison RS232 / RS485Configuration :• Cliquer le menu « passerelle » puis« Transparent ». Puis « rawclient»• Cocher « activer la passerelle ».Paramètre « Taille du buffer de réception RS232/485» (valeur 1 à1024) :Fixe la taille maximum, en octets, d’un bloc transmis vers le réseau IP.Paramètre « Timeout fin de trame RS232/485» (valeur 10 à 500 ms) :Fixe délai de silence maximum après lequel le buffer de caractères reçusde la liaison RS232-RS485 est transmis vers le réseau IP.Paramètre « Timeout d'inactivité sur socket TCP» (valeur 0 à 5 mn) :Fixe le temps au bout duquel la liaison TCP est rompue en cas d’absencede caractères reçus du réseau IP ou de la liaison série.Paramètre « Numéro du port TCP » :Fixe le N° du port TCP à utiliser.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 91

MISE EN SERVICEAttention : Si 2 passerelles du même type sont actives sur les deux portssérie, elles ne peuvent pas utiliser le même N° de port TCP.Paramètre « Adresse IP du serveur Raw TCP » :Fixe l’adresse IP à laquelle sont transmis les caractères reçus de laRS232 / RS485 (c’est l’adresse du serveur RAW).).20.3.2 Passerelle « RAW serveur »Elle permet de raccorder des équipements « esclaves » sur la liaisonRS232-RS485.L’équipement de la liaison série peut ainsi communiquer avec un PCClient RAW TCP.La passerelle « RAW serveur » peut en particulier être utilisée avec profiten association avec le logiciel Be IP d’etic dans le cas où il faut fairecommuniquer par un réseau IPConfiguration de la passerelle RAW serveur :• Cliquer le menu « passerelle » puis« Transparent ». Puis « rawserveur»• Cocher « activer la passerelle » puis régler les paramètres :Paramètre « Taille du buffer de réception RS232/485» (valeur 1 à1024) :Fixe la taille maximum, en octets, d’un bloc transmis vers le réseau IP.Page 92 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICEParamètre « Timeout fin de trame RS232/485» (valeur 10 à 500 ms) :Fixe délai de silence maximum après lequel le buffer de caractères reçusde la liaison RS232-RS485 est transmis vers le réseau IP.Paramètre « Timeout d'inactivité sur socket TCP» (valeur 0 à 5 mn) :Fixe le temps au bout duquel la liaison TCP est rompue en cas d’absencede caractères reçus du réseau IP ou de la liaison série.Paramètre « Numéro du port TCP » :Saisir le N° du port TCP à utiliser.Attention : Si 2 passerelles du même type sont actives sur les deux portssérie, elles ne peuvent pas utiliser le même N° de port TCP20.4 Passerelle “RAW UDP”20.4.1 PrésentationCette passerelle permet de relier un ensemble d’équipements série ouIP, au travers d’un réseau IP.Les destinataires sont désignés dans une liste établie par configuration.Cette solution est très simple de mise en œuvre : On désigne chaquecorrespondant par son adresse IP; les données RS232 sont envoyéessous forme de trames IP adressées individuellement à chaquecorrespondant enregistré..Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 93

MISE EN SERVICE20.4.2 ConfigurationSélectionner le menu « passerelle » puis « Transparent » puis « RawUDP »Cocher « activer » puis régler les paramètres ci-dessous :Paramètre « Taille du buffer de réception RS232/485» (valeur 1 à 1024) :Fixe la taille maximum, en octets, d’un bloc transmis vers le réseau IP.Paramètre « Timeout fin de trame RS232/485» (valeur 10 ms à 5 sec ) :Fixe délai de silence maximum après lequel le buffer de caractères reçusde la liaison RS232-RS485 est transmis vers le réseau IP.Paramètre « Numéro du port UDP » :Fixe le N° du port UDP à utiliser permettant de recevoir les donnéesd'un ou plusieurs équipements sur le réseau.Attention : Si 2 passerelles du même type sont actives sur les deux portssérie, elles ne peuvent pas utiliser le même N° de port UDP.Page 94 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICEParamètre Liste de « Destinations » :Transmettre automatiquement les caractères reçus de la RS232 / RS485vers les destinations indiqués : pour un équipement maître (ou client),renseigner tous les équipements esclaves. Pour un équipement esclave(ou serveur), renseigner l'équipement maître.Un équipement est défini par une adresse IP et un port. Vérifier que leport correspond au champ "Numéro du port UDP" configuré dans lapasserelle "Raw UDP" de l'équipement distant.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 95

MISE EN SERVICE20.5 Passerelle UnitelwayLa passerelle Unitelwaypermet de connecter unautomate série maîtreunitelway à un réseau IP.Elle permet en particulier deréaliser la fonction detélémaintenance d’automatesSchneider Electric RS485 viaun réseau IP.• Cliquer le menu Unitelway• Cocher « activer la passerelle ».Désigner l’adresse Xway de l’automate maître et celle desautomates esclaves éventuellement raccordés à l’interface RS485.Page 96 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE21 Fonctions avancées21.1 Ajouter un certificatCe menu permet de gérer les certificats X509 utilisés pour les connexionsVPN. Chaque produit contient déjà un certificat délivré par ETIC. On peutvouloir cependant utilisé un autre certificat délivré par une autre autoritéde certification. Ce certificat peut être introduit soit en format PKCS#12avec mot de passe ou en en format PEM.Un seul certificat peut être actif à la fois.Attention : Pour pouvoir établir une connexion VPN, les certificats desdeux routeurs doivent avoir été délivrés par la même autorité decertification.21.2 Programmation des alarmes21.2.1 Alarmes SNMPLe routeur dispose d’un agent SNMP qui supporte la MIB-II standard etl’envoi de TRAP sous certaines conditions.Activer :Si cette case est cochée l’agent SNMP est lancé.Paramètre « Adresse IP de la plate-forme d’administration » :Ce paramètre détermine vers quelle adresse IP les TRAP SNMP vontêtre envoyés.Paramètre « Valeur de la variable SysName et SysLocation » :Ces deux variables sont des champs standard et permettent d’identifierd’où provient le TRAP sur la plate-forme d’administration SNMP.Paramètre « Envoi de TRAP sur événement » :Ces boites à cocher déterminent quel événement et quel TRAP estenvoyé suite à cet événement.21.2.2 Alarme STORCe menu détermine quel événement entraîne la fermeture de la sortieTOR.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 97

MISE EN SERVICE21.2.3 Alarme e-mailLorsque l’entrée TOR du routeur RAS-AD2E (située sur le bornier à vis)change d’état, une alarme peut être envoyée, sous forme d’un e-mail (etdonc d’un SMS).Ce menu permet de paramétrer les conditions d’émission de l’alarme.Paramètre « Activer l'alarme par email » :Si cette case est cochée, une alarme par e-mail est émise lorsque l’entréeTOR N° 1 change d’état.Paramètre « Source de l'alarme » :Ce paramètre permet de déterminer le ou les changements d’état quiprovoquent l’alarme : passage à l’état ON (fermé), ou à l’état OFF ou bienles deux.Paramètre « Temps de maintien de l'état avant alarme » :Ce paramètre permet de fixer la durée minimale durant laquelle l’étatd’alarme doit être maintenu pour provoquer l’envoi de l’e-mail d’alarme (1à 60 secondes).Paramètre « Destinataire de l'alarme » :Ce paramètre permet de choisir le destinataire de l’alarme parmi la listedes utilisateurs autorisés (User list).Note :On peut souhaiter recevoir l’alarme sous forme d’un message SMS surun téléphone portable. Ceci est possible en adressant l’e-mail d’alarmevers une adresse mail ouverte chez l’opérateur GSM qui le route ensuitevers le portable associé. Les opérateurs GSM offrent cette fonction. Onconsultera notre service hotline pour la mise en œuvre.Page 98 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MISE EN SERVICE21.3 Activer le portail webPar défaut, lorsque l’on accède au service http (port 80) du routeur onarrive sur le serveur d’administration. Il est possible de créer un portailweb contenant une liste de machine que l’on peut joindre d’un simple clic.Ce portail web se substitue au serveur d’administration qui resteaccessible par le port 8080.La liste des machines permet ensuite de construire les filtres du pare-feupour les connexions des utilisateurs distants et de constituer le « portail »qui peut être affiché comme page d’accueil de l’utilisateur distant.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 99

MISE EN SERVICEPour activer le portail web :• Sélectionner le menu « Configuration », puis « Systeme » puis« Liste des machines»Paramètre « Nom du site » :Le nom du site est le libellé qui s’affiche en haut à droite de toutes lespages du serveur d’administration et du portail.Paramètre « Afficher le portail web » :Cocher cette case pour afficher le portail à la place du serveurd’administration.Pour ajouter une machine à la liste, en vue de l’afficher dans leportail web :• Cliquer le bouton « Ajouter une machine » en bas de l’écran.• Enregistrer un libellé (le nom que vous souhaitez donner à la machine)et son adresse IP.• Valider. La machine qui vient d’être créée apparaît maintenant dans laliste des machines. Elle sera affichée dans la page « portail ».Page 100 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

Pour supprimer une machine de la liste,MISE EN SERVICE• Assurez-vous au préalable que la machine à supprimer n’intervient pas dans une règlede firewall ; si la machine intervient dans une règle de firewall, et que le filtre a en plus étéaffecté à un ou plusieurs utilisateurs, retirer d’abord ce filtre aux utilisateurs en accédant àla fiche de chacun d’entre eux, puis ensuite supprimer ou modifier le filtre ; alorsseulement, il devient possible de supprimer une machine.• Cliquer le bouton « Suppr. »• Valider ; la machine ne fait plus partie de la liste des machines.21.4 Configurer le serveur DNSPour la résolution des noms de domaines, le routeur RAS se comportecomme un serveur et un relais DNS. Cette fonction est toujours active.Fonction Relais DNS :Le routeur RAS-AD2E se comporte comme un relais DNS : Toute requêteDNS qui lui est adressée sur le réseau local sera ré-émise vers le serveurDNS du FAI.Cette fonction est pratique par exemple pour l’envoi d’email depuis unemachine. Si les adresses des serveurs DNS du FAI sont obtenusautomatiquement à la connexion Internet du routeur, elles ne sont pasconnues des machines. Dans ce cas on désigne dans ces machinesl’adresse du routeur RAS comme serveur DNS.Fonction Serveur DNS :Le routeur RAS se comporte comme serveur DNS pour tous les nomsDNS qui ont été définis. Pour définir un nom DNS, il suffit de définir unemachine dans la liste des machines.• Sélectionner le menu « Configuration », « Systeme » puis « Listedes machines»La liste des machines permet aussi de construire les filtres utilisateur dupare-feu pour les connexions des utilisateurs distants et de constituer le« portail » qui peut être affiché comme page d’accueil de l’utilisateurdistant.Nom de domaine du site :Le nom de domaine est le suffixe DNS que l’on peut saisir pour accéder àune machine.Par exemple, si l’on désigne une machine par le libellé « assemblage »et que l’on a saisi « grenoble » pour nom de domaine du site, on peutRouteur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 101

MISE EN SERVICEaccéder aux services web de cette machine (en local ou à distance àtravers un VPN) en tapant « assemblage.grenoble » dans le masque desaisie d’adresse du navigateur html.Tableau de liste des machines :Pour ajouter ou supprimer une machine à la liste, voir § Activer le portail web.Page 102 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MAINTENANCE1 Diagnostic visuel de défaut de fonctionnementAprès la mise sous tension, le voyant s’éclaire en rouge durant 30secondes environ pendant la phase d’initialisation du routeurAprès ce délai, le voyant passe au vert lorsque le produit est prêt àfonctionner.Si le voyant reste éclairé rouge après de délai, le routeur estprobablement en panne ; contacter la hotline.2 Menu DiagnosticJournal des connexions :Sélectionner la page le menu « Diagnostic » puis « Journal »Le journal permet de visualiser l’enregistrement horodaté des connexionsà distance et des connexions au serveur d’administration.Il peut être imprimé.Contrôle de la connexion au réseau local :Sélectionner le menu « Diagnostic » puis « Etat réseau » puis« Interfaces ».Le paragraphe « Etat du LAN » indique l’adresse MAC, l’adresse IP et ledébit courant sur le réseau local.Contrôle de la Connexion ADSL et Internet :Sélectionner le menu « Diagnostic » puis « Etat réseau » puis« Interfaces ».Le paragraphe « Connexion Internet » donne l’état courant de laconnexion ADSL : Débit montant et descendant, @IP locale et distante ;@IP du serveur DNS.La bouton « Statistiques » donne les caractéristiques du signal ADSL(niveau d’émission et réception, marge de signal) ainsi que les indicateursde taux d’erreurs.Diagnostic des connexions VPN :Sélectionner le menu « Diagnostic » puis « Etat réseau » puis« Connexions VPN».Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 103

MAINTENANCECette page donne la liste et les paramètres techniques des connexionsVPN entrantes, sortantes et d’utilisateurs qui sont établies.Diagnostic de défaut de fonctionnement d’une passerelle série :Sélectionner le menu “Diagnostic”, puis “Etat des passerelles”.Cette page permet d’afficher l’état courant du paramétrage des passerelles, le nombred’octets et de trames échangées et le nombre de trames en erreur.Le lien “visualiser” permet d’afficher en hexadecimal les trames reçues ettransmises sur la liaison série.Etat des interrupteurs :Cette page affiche l’état des micro-interrupteurs situés sur la face supérieure du boîtier.Ping :Cette page permet de commander l’émission d’une trame « ping » versune machine du réseau raccordé au routeur.Syslog : A compléter.Page 104 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

MAINTENANCE3 Sauvegarde et chargement d’un fichier de paramètresUne fois configuré, le paramétrage peut être sauvegardé sous forme d’unfichier qui peut ensuite être restitué pour faciliter un redémarrage en casde remplacement du produit par exemple.Pour sauvegarder un fichier de paramètres,sélectionner le menu « Système » puis « Sauvegarde / restauration ».Cliquer le bouton « Sauvegarder » puis « Enregistrer » quand la fenêtre apparaît.Désigner le nom du fichier et l’emplacement de la sauvegarde.Le fichier a le suffixe .bin.Pour restaurer un fichier de paramètres sauvegardésélectionner le menu « Maintenance » puis « Sauvegarde / restauration ».Cliquer le bouton « Parcourir » puis sélectionner le fichier (XXX.bin) à restituer.Cliquer le bouton « Charger » puis confirmer pour redémarrer le produit.Attention : Un fichier de paramètres ne peut être restauré que dans unproduit possédant la même version de firmware que celle avec laquelle lefichier de paramètres a été produit initialement.4 Mise à jour du firmwareElle s’effectue en local par la prise Ethernet ou bien, éventuellement, à distance.Etape 1 : Préparation des équipements- Préparer un PC et un câble Ethernet.- Télécharger le logiciel FTP serveur depuis notre site de maintenance(contacter notre service client).Etape 2 : Téléchargement du firmware- Télécharger le firmware depuis notre serveur de maintenance vers lePC et décompresser.Etape 3 : Préparation de la mise à jour :- Vérifier que les adresses IP du PC et du produit à mettre à jour sontcompatibles.- Connecter le PC au produit par la prise Ethernet.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 105

MAINTENANCE- Lancer le logiciel TFTP serveur (tftp32.exe) et sélectionner sur ledisque du PC, le dossier où est enregistré le firmware.- Dans le logiciel TFTP, cliquer le bouton "Show dir" pour visualiser lesfichiers du firmware (jffs2root, rfsmini.tgz, u-boot.bin et uImage).Etape 4 : Mise à jour du firmware- Lancer le navigateur html et entrer l’adresse du produit à mettre à jour.La page d’accueil du serveur html du produit ETIC s’affiche.- Sélectionner le menu « Maintenance » puis « Mise à jour ».- Dans le champ « adresse IP du serveur TFTP », entrer l’adresse IPdu PC ; elle est inscrite dans le masque "Server Interface" du logicielTFTP.- Cliquer sur « Enregistrer » puis sur « Mise à jour ».Le chargement s’effectue et la led Service clignote.A la fin du chargement, le produit s’initialise ; la led RUN clignote enrouge.• Vérifier que la mise à jour a été chargée en contrôlant le N° deversion dans le menu « A propos ».Etape 5 : Restaurer la configuration usinePage 106 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

QUELQUES USAGES PARTICULIERSOn décrit ci-dessous quelques usages particuliers du routeurs RAS-AD2E :• La connexion d’utilisateurs distants au moyen du logiciel M2Me-Secure,• La connexion d’utilisateurs distants au moyen du service M2Me_Connect,• La connexion non sécurisée d’un utilisateur (non conseillée),• La visualisation de l’entrée TOR du routeur et la télécommande de la sortie.1 Connexion VPN au moyen du logiciel M2Me_SecureOn décrit ci-dessous la procédure que doit suivre l’utilisateur d’un PCisolé ou en réseau équipé du logiciel M2Me_Secure fourni par ETICTelecom pour se connecter à distance à un réseau de machines.• Ouvrir le logiciel M2Me_Secure et entrer l’identificateur et le mot depasse d’utilisateur (admin et admin à la livraison).• Sélectionner le site et cliquer le bouton de connexion dont la légendeest « Accéder au site par Internet ».La fenêtre « Connexion en cours » s’affiche ; puis, quelques secondesaprès, le message « La connexion avec le site est établie ».Une figurine s’affiche à côté du nom de site pour indiquer que le PCest connecté.Le PC est téléporté sur le réseau distant. Une adresse IP de ce réseau luia automatiquement été attribué.Note : Pour saisir l’adresse IP ou bien le nom de domaine ou le nom dedomaine DynDNS de destination, cliquer droit sur la ligne du site, puissélectionner l’onglet Connexion, cocher la case « Ce site est accessiblepar Internet » et saisir l’adresse de destination ou le nom de domainedans le champ « nom d’hote ou adresse IP ».Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 107

QUELQUES USAGES PARTICULIERS2 Connexion par Internet au moyen du service M2Me_ConnectLe service M2Me_Connect est un service de médiation décrit auparagraphe XX.On décrit la procédure que doit accomplir l’utilisateur d’un PC isolé ouconnecté à un réseau IP pour se connecter à distance au réseau demachines en utilisant le service M2Me_Connect.• Ouvrir le logiciel M2Me_Secure et entrer l’identificateur et le motde passe d’utilisateur.S’il n’a pas été prévu que l’authentification du PC sur le serviceM2Me_Connect s’effectue automatiquement dés l’ouverture du logiciel,sélectionner l’icône « Menu » puis « Authentifier sur M2Me ».Patienter quelques secondes jusqu’à ce que le message « Votre PC estauthentifié sur le service M2Me» s’affiche dans la barre de contrôle enbas de la fenêtre M2Me.La liste des site s’affiche ; ceux qui sont actuellement connectés sur leservice M2Me_Connect sont précédés d’un voyant vert ou d’unecaractère « e » de couleur verte.• Sélectionner le site et cliquer le bouton « Accéder au site parInternet ».La fenêtre « Connexion en cours » s’affiche ; puis, quelques secondesaprès, le message « La connexion avec le site est établie ».Une figurine s’affiche à côté du nom site pour indiquer que le PC estconnecté.Le PC est téléporté sur le réseau distant. Une adresse IP de ce réseau luia automatiquement été attribué.Page 108 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

QUELQUES USAGES PARTICULIERS3 Connexion non sécuriséeil n’est pas conseillé d’utiliser une connexion non sécurisée sur l’Internet.De plus, si l’on n’utilise pas de VPN, on ne peut facilement adresserqu’une seule machine du réseau local : Une règle DNAT doit êtreprogrammée pour que le routeur renvoie les trames qu’il reçoit vers unedes machines du réseau local.Les trames IP transmises par le PC à destination de l’adresse ou du nomde domaine ou du nom de domaine dynamique du routeur sont renvoyéesvers un des abonnés du réseau local en fonction de la règle DNATenregistrée dans le routeur.Paramétrage du routeurLe paramètre VPN doit prendre la valeur « aucun « .Le Serveur de médiation M2Me ne doit pas être sélectionné.Une règle DNAT doit être enregistrée pour renvoyer les trames vers undes abonnés du réseau local (menu « Internet » puis « Routage »).4 Visualisation des entrées et télécommande de la sortieLe menu « Diagnostic » puis « Contrôle des E/S » permet d’afficher l’étatde l’ entrée TOR et de piloter la sortie.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 109

ANNEXE 1Arborescence du serveur d’administration1/ ConfigurationUtilisateursInterfaces LANInterface WANRéseauSécuritéAlarmesEnregistrer la liste d’utilisateurs distants autorisés et leurattribuer des droits (voir pare-feu).Enregistrer l’@ IP attribuée au routeur RAS.Enregistrer l’@IP attribuée à l’utilisateur distant.Définir le fonctionnement des ports EthernetParamétrer le serveur DHCPEnregistrer les paramètres ADSLEnregistrer les paramètres du compte internetEnregistrer les paramètres DynDNSParamétrer les connexions VPNEnregistrer les routes statiquesParamétrer les règles de redirection de portRégler le firewallEnregistrer un certificat X509Protéger et limiter l’accès au serveur d’administrationDéterminer les traps SNMP à envoyerChoisir l’événement déclenchant la sortie TORDéterminer les conditions de l’envoi d’email, le destinataire, le contenuPasserelle série Configuration des passerelles modbusConfiguration de la passerelle unitelwayConfiguration des passerelles RAW TCP/UDP, Telnet, multicastSystèmeMettre à jour la date et l’heureEnregistrer les paramètres de l’administration SMPEnregistrer la liste des protocoles et ports TCP/UDPEnregistrer la liste des machines du réseau local (@IP)2/ DiagnosticJournalEtat du réseauVisualiser la liste horodatée des événements : connexions inter-sites,utilisateurs qui se sont connectés à distance, …Afficher l’état actuel du produit : @ MAC, @IP, ADSL, VPNAfficher la table de routage interneAfficher l’état du service M2Me_ConnectPasserellesEtat et diagnostic des passerelles sérieRouteur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 111

ANNEXE 1Arborescence du serveur d’administrationOutilsMatérielEnvironnementTransmettre des PingVisualiser l’état de l’ETOR, commander la STORAfficher l’état actuel des DIP switchesVisualiser le niveau des alimentations électriquesVisualiser le niveau des alimentations électriques3/ MaintenanceMise à jour Charger un nouveau logiciel dans le produit.Sauvegarde Sauvegarder la configuration du produit dans un fichier du/ Restauration PC, ou au contraire, la charger dans le produit.Redémarrer Initialiser le routeur RAS lorsque les modifications duparamétrage rendent cette opération nécessaire.4/ A propos Afficher les informations d‘identification du produit.Page 112 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

ANNEXE 2Créer une connexion VPN de type PPPT pour Internet sous XPUne connexion PPPT permet de connecter un PC isolé ou en réseauau routeur par l’internet.Pour créer une connexion PPPT,• Cliquer Démarrer, puis Connexions, puis afficher toutes lesconnexions.• Sélectionner « Créer une nouvelle connexion », puis « Connexion auréseau d’entreprise » puis « Connexion réseau privé virtuel », puis « nepas établir la connexion initiale.• Dans le champ Nom d’hôte ou adresse IP, saisir le nom de domaineDynDNS (par exemple, etic_ras.dyndns.org• Donner un nom à la connexion (par exemple, connexion pptp), puiscliquer « Terminer ».La fenêtre de la connexion apparaît ; cliquer « Propriétés » puissélectionner l’onglet « Gestion de réseau ».• Dans le champ « Type de réseau VPN, faire le choix « PPTP » puiscliquer OK pour sauvegarder.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 113

ANNEXE 3Modifier la connexion Ethernet IP du PCPour effectuer la première configuration du routeur, il faut connecterla prise Ethernet du PC à celle du routeur et attribuer au PC une adresseIP compatible avec celle qui est programmée dans le routeur à lalivraison.Pour modifier l’adresse IP du PC,• Ouvrir le panneau de configuration• Ouvrir le dossier connexion réseau et accès à distance• Cliquer droit sur la connexion au réseau local existante puis« propriétés »• Sélectionner Protocole internet (TCP/IP)• Cliquer sur PropriétésRouteur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 115

ANNEXE 3Modifier la connexion Ethernet IP du PC• Cliquer sur « utiliser l’adresse IP suivante » .• Attribuer au PC une adresse IP et un masque de réseau compatiblede l’adresse IP affectée au serveur d’administration du routeur.Note : L’adresse « Usine » du routeur est 192.168.0.128 ; pour lapremière configuration, on pourra affecter au PC l’adresse IP192.168.0.127.Page 116 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

ANNEXE 4La technique des VPN1 La fonction des VPNVPN est l’acronyme de « virtual private network » ; réseau privé virtuel enfrançais. Le VPN est une technique qui permet d’interconnecter deuxréseaux IP à travers l’internet en offrant une sécurité maximale.Un VPN est établi entre deux routeurs des réseaux à relier. Une fois leVPN établi, chaque machine du premier réseau peut communiquer avecchaque machine de l’autre comme si les deux réseaux étaientvirtuellement connectés l’un à l’autre, et avec la sécurité maximale.L’interconnexion de sites à travers Internet s’effectue au moyen detunnels VPN (virtual private network) sécurisés. Lorsqu’un VPN est établientre deux routeurs RAS, ces deux routeurs se trouvent virtuellementreliés par un câble ethernet.VPNInternetLa technique du VPN permet aussi de relier le PC isolé d’un utilisateurdistant au routeur d’un réseau de machines. Le VPN permet alorsd’identifier l’utilisateur.VPNInternet2 Fonctions assurées par un VPNUn VPN réalise les fonctions suivantes :Authentification réciproque :Chaque routeur est titulaire d’un code appelé clé ou bien certificat ; à laconnexion, l’échange des clés permet à chaque routeur de s’assurer del’identité de son homologue.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 117

ANNEXE 4La technique des VPNIntégrité des donnéesLe VPN garantit que toutes les données reçues sont conformes à ce quel’homologue à transmis.DiscrétionLes clés permettent également de crypter les donnés pour assurer ladiscrétion de la transmission ; un observateur sur l’internet ne peut lesdécoder s’il ne possède pas la clé.3 Les clésChaque extrémité enregistre une clé qui permettra à la fois le cryptage, ledécryptage, la vérification de l’intégrité et l’authentification des parties.Deux type de clé peuvent être utilisées :La clés secrète : Il s’agit d’un code enregistré dans chaque routeur ; lesdeux extrémités enregistrent la même clé.L’authentification, le cryptage, le décryptage, ainsi que le contrôle del’intégrité sont réalisés au moyen de cette clé ; c’est donc son caractèresecret qui garantit la sécurité.Le certificat : Il s’agit d’un fichier tenant lieu de carte d’identité ; il estdélivrée par une autorité de certification. Il est unique ; Il contient unesuite d’informations qui identifient son détenteur ainsi que l’autorité qui l’adélivré ; il contient également un code appelé clé publique et un autreappelé clé privée.La sécurité repose sur le temps déraisonnable qui devrait être passé pourdéduire la clé privée associée à la clé publique.ETIC Télécom est une autorité de certification reconnue et habilitée àfournir des certificats. Chaque routeur est équipé d’un certificat au formatdéfini par la norme X509.Pour pouvoir établir une liaison, chaque extrémité doit connaître la clépublique de l’autre extrémité.Page 118 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

ANNEXE 4La technique des VPN3.1 FonctionnementAuthentificationA la connexion, les routeurs établissent entre eux un dialogue visant às’authentifier mutuellement.Si l’on a choisi un système à clé partagée, les clés sont échangées aprèsavoir été cryptées.Si on a choisi l’utilisation de certificats, chaque routeur transmet à l’autreun message chiffré au moyen de sa propre clé privée ; le destinataire ledécrypte au moyen de la clé publique de l’émetteur ; il en a connaissanceparce qu’elle a été déclarée lors du paramétrage.Clé privée de l'émetteurClé publique de l'émetteurMessageChiffrement Internet déchiffrementd'authentificationDonnéesen clairTransmissionUne fois l’authentification effectuée, le tunnel est constitué entre les deuxrouteurs ; les adresses IP sources et destination sont celles des deuxextrémités du VPN. Elle ne sont pas cryptées.Celui qui prend l’initiative de la connexion est appelé client VPN; leserveur VPN est celui qui accepte la connexion.Dans ce flux de trames IP entre les deux routeurs est transporté le traficutile : Les trames IP provenant des machines du premier réseau vers desmachines du second. Ce trafic est crypté (si on choisit cette option).Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 119

ANNEXE 4La technique des VPNCryptage des donnéesDans le cas où l’on a choisi le système à clé partagée, le cryptage et ledécryptage s’effectuent avec la même clé.Dans le cas où l’on a choisi le système de certificats, le cryptage et ledécryptage ne sont pas symétriques : les données sont encryptées aumoyen de la clé publique du destinataire qui les décrypte au moyen de saclé privée.Entretien et coupure du VPNRégulièrement, en l’absence de trafic, chaque routeur envoie à sonhomologue une trame de vie permettant de s’assurer qu’il est actif ; enl’absence de réponse, le tunnel VPN est rompu à l ‘échéance d’unetemporisation.4 Types de VPN supportés pour l’interconnexion de sitesLe routeur RAS-AD2E supporte deux types de VPN pour lesinterconnexions de sites: IPSec et TLS/SSL.Pour chacun de ces deux types, le routeur RAS-AD2E peut être clientVPN ou serveur VPN.Toutes les connexions doivent être du même type (SSL ou IPSec) ; 16VPN simultanés peuvent être établis.IPSec est le protocole le plus couramment utilisé pour établir des VPN.On choisira donc d’utiliser IPSec si c’est la solution qui est imposée ; parexemple, dans le cas où un routeur RAS-AD2E doit communiquer avecun routeur d’une autre marque qui ne supporte que le protocole IPSEC.TLS/SSL est le protocole VPN offre plus de souplesse tout engarantissant un niveau de sécurité équivalent à IPSec. On préférera TLSà chaque fois qu’il s’agit d’une connexion entre deux routeurs RAS.Page 120 Notice d’utilisation ref 9017509-02 Routeur ADSL ref. RAS-AD2E

ANNEXE 5Câblage du parasurtenseurDans le cas où la ligne est notoirement exposée à l’orage – ligne aérienne, câble nonblindé, régions orageuses - nous conseillons d’équiper les extrémités de la paire torsadée(ou de chacune des deux paires torsadée) avec des parasurtenseurs reliés à la terre.Nous avons sélectionné et testé le parasurtenseur de marque Phoenix etde référence TT-2-PE-24DC.Il doit être câblé comme indiqué ci-dessous.La communication SHDSL n’est pas polarisée ; en conséquence le fil 3peut être interverti avec le fil 4.Routeur ADSL ref. RAS-AD2E Notice d’utilisation ref. 9017509-02 Page 121

13, Chemin du Vieux Chêne38240 Meylan FranceTél : (33) 4 76 04 20 00Fax : (33) 4 76 04 20 01E-mail : contact@etictelecom.comWeb : www.etictelecom.com