In dieser Präsentation zeigt Westermos OT Network Expert Marcel Bühner die Neuigkeiten von Westermos MRD Mobilfunkroutern. Mit dem Update auf die Version 1.8.0.1 haben wir neben der Auftrennung der LAN Schnittstellen auch die Integration in WeConfig weiter vorangetrieben.
Hier gehts zur Aufzeichnung: https://www.westermo.de/news-and-events/webinars/mrd-webinar-firmware-updates
1. Webinar MRD update 1.8.0.1
Wir beginnen in Kürze
Conny Kern & Marcel Bühner
06.05.2020
2. 2
Eine Hochtechnologiegruppe, die digitale
Lösungen zur Prozessoptimierung für Industrie,
Transport, Immobilien und Infrastruktur liefert
Die Beijer Gruppe
800
Mitarbeiteranzahl 2019
€145
Gruppenumsatz 2019
Millionen
4. 4
D-A-CH
Westermo Data Communications GmbH
Zentrale DACH
▪ Waghäusel (DE)
▪ Marco Gerhard (Geschäftsführer)
Zuständig für:
▪ Management
▪ Vertrieb / Marketing
▪ Auftragsabwicklung
▪ Lager / Logistik
▪ Technischer Support
▪ Ausarbeitung von Netzwerklösungen
▪ Service Center (RMA)
5. 5
Thema:
MRD update 1.8.0.1
Dauer:
45 Minuten
Das Webinar wird aufgezeichnet
und nach dem Vortrag
entsprechend verteilt
Referent
Marcel Bühner
Technical Account Manager
marcel.buehner@Westermo.ch
+41 43 508 31 79
+41 79 269 49 00
6. 6
Fragen
▪ Verwenden Sie das Chatfenster
▪ Stellen Sie Ihre Frage
▪ Alle Fragen werden am Ende der Präsentation entsprechend beantwortet
7. 7
Live Stream
▪ Sie können den Live-Stream auch entsprechend stoppen und wieder starten
▪ Dazu verwenden Sie am besten die Pause / Play Button an der linken unteren Ecke
10. 10
CVE-2020-8579
▪ Was ist die Schwachstelle?
▪ In der Open-Source Library pppd wurde eine Schwachstelle gefunden
▪ Die Schwachstelle kann ein MRD zum Absturz bringen – beliebiger Code kann ausgeführt werden
▪ CVS-Score v3: 9,8 - kritisch
▪ Wann bin ich von der Schwachstelle betroffen?
▪ Wenn auf dem MRD eine PPP Verbindung auf der seriellen Schnittstelle konfiguriert wurde
▪ Wann wird die Schwachstelle geschlossen?
▪ Da dieser UseCase praktisch nicht vorkommt (uns sind zumindest keine Applikationen bekannt),
wird die Schwachstelle mit dem nächsten, regulären Firmwareupdate geschlossen. Es erfolgt kein
vorgezogenes Bug Fixing.
12. 12
Netzwerke bisher
Da auf dem MRD die beiden LAN Ports bis
anhin geswitched waren, und auch keine
Möglichkeit zur Konfiguration von VLAN’s
(Virtuelle LAN’s) bestand, konnte das MRD
nur ein lokales Netzwerk bedienen.
▪ Nur ein Teilnehmer
▪ 2 Netzwerk Teilnehmer im selben Netz
▪ Mehrere Adressbereich / 1 Netz
In Kombination mit einem Lynx 2xx Routing
Switch als OT Firewall Router können:
▪ Netze sauber getrennt werden
▪ VLAN’s eingerichtet werden
▪ Verkehr zwischen den Netzen
eingeschränkt werden (Firewall)
PQ PQ
13. 14
Zweites Netzwerk
Mit der Firmware 1.8.0.1 haben wir nun
die Möglichkeit, auf dem zweiten Ethernet
Port ein separates Netzwerk zu
konfigurieren.
Dadurch können nun weitere Gewerke als
separates Netzwerk angebunden werden.
Zu beachten ist, dass auch weiterhin keine
VLAN’s konfiguriert werden können.
PQ
14. 16
Lan Interfaces Konfigurieren
Neu kann auf dem zweiten Ethernet Port ein separates Interface
konfiguriert werden.
Dazu muss die Option «Make LAN ports independent» (1)
aktiviert werden.
Danach kann das zweite Interface konfiguriert werden.
➔Checkbox «Enabled» aktivieren
Dieses Interface kann nun für ein separates lokales Netz oder
aber als Transfernetz/WAN2 genutzt werden. Es wird in der
weiteren Konfiguration des MRD’s, beispielsweise im Routing
oder in der Firewall, gleich behandelt wie die LAN Schnittstelle.
1
2
15. 17
Zweites/alternatives Gateway: Varianten
Im MRD konnte schon immer ein zweites
Gateway konfiguriert werden. Dies
ermöglicht nun, in Kombination mit dem
zweiten LAN Anschluss, eine redundante
Anbindung der Aussenstation an die
Zentrale / das OT Netz.
Variante 1 Primäre Kommunikation über
LAN2 und Redundanz über WLS:
▪ Diese Version wird zur Zeit nicht
unterstützt.
▪ Es wird nur ein «Link Down» am lokalen
Anschluss erkannt ➔ Keine
Überwachung des gesamten Pfades!
Variante 2 Primäre Kommunikation über
WLS und Redundanz über LAN2
16. 19
Zweites Gateway: Interface Metrik & Routing
X
!
Das aktive Default Gateway wird an Hand
der Metrik des Interfaces gewählt. Das
Interface mit der kleinsten Metrik stellt das
aktive Default Gateway.
➔So lange das Interface auf Up steht, ist
dieses aktive und somit gültig.
➔ Das sekundäre Gateway wird somit nie
aktiviert, so lange dieser «Link Up»
Status vorherrscht.
➔ Es findet keine Prüfung statt, ob das
Gateway auch erreichbar ist.
Dynamisches Routing (RIP) ist in diesem
Fall nicht hilfreich, da die «Distanz»über
den VPN Tunnel immer 1 Hop ist (=Metrik
2), und der Pfad über das Stationsnetzwerk
nicht kleiner sein kann.
17. 21
WLS immer als primäres Gateway
Das zweite Gateway als Backup Pfad zu
gebrauchen macht besonders in der hier
gezeigten Kombination mit einer
vorhandenen aber leistungsschwachen DSL
Verbindung Sinn. Im «Normalzustand»
wird die Kommunikation über den
performanteren VPN Tunnel geführt und
nur im Störungsfall die zweite Verbindung
genommen.
Eine Umschaltung in dieser Situation kann
nur zu einem «Gewinn» führen, denn die
WLS Verbindung ist gebrochen und selbst
wenn trotz vorhandenem «Link Up» die
Verbindung zum Gateway unterbrochen
ist, bedeutet dies keine Verschlimmerung
der Situation.
18. 23
Dual WAN
Das zweite Netzwerk bietet nun auch die
Möglichkeit, die Tunnels über eine
redundante Internetanbindung,
beispielsweise einem xDSL Anschluss oder
ein bestehendes Netzwerk, aufzubauen.
Es gelten die bekannten Einschränkungen:
WLS muss der primäre Pfad sein
Keine aktive Kontrolle, ob das Gateway
oder gar der Endpunkt erreichbar ist.
WAN2WAN1DMZ 15 4 3 267CONSOLEUSBDC+12VRESET
Master
(Primary)Backup
xDSL Mobilfunk
X
19. 25
Statische Routen / dynamisches Routing (RIP)
Durch das Definieren von statischen
Routen wird festgelegt, über welches
Gateway die Kommunikation zu einem
bestimmten Teilnehmer oder Netz laufen
soll.
▪ Asynchrones Routing vermeiden beim
Einsatz von Firewalls
▪ Bei redundanten Einträgen gelten die
selben Einschränkungen wie bei den 2
Gateways
Wird mit dynamischem Routing RIP
gearbeitet, wird der jeweils beste
(«kürzeste») Pfad genommen. RIP zählt
dabei die Anzahl Hops (Sprünge) von
Router zu Router die benötigt werden, um
das Ziel zu erreichen.
21. 28
Weitere Neuerungen in der FW 1.8.0.1
▪ Session based Web Interface mit erweitertem Authentisierensprozess
▪ LLDP (Link Layer Discovery Protokoll)
▪ mDNS (Multicast DNS) für das einfache Auffinden und Konfigurieren
▪ Link Local Adresse auf LAN Interface (169.254.x.x)
Für das MRD 405:
▪ Neu können 4 Zertifikate geladen werden
▪ Es werden bis zu 3 IPSec Tunnels unterstützt
24. 31
MRD’s können nun mit WeConfig gesucht und in das Projekt eingebunden werden.
Um die volle Funktionalität nutzen zu können, muss auf dem MRD das Passwort der API Schnittstelle
konfiguriert werden. Dies geschieht direkt in WeConfig.
Damit WeConfig diese Funktion ausführen kann, muss nach einem Firmware Upgrade das Gerät in die
Werkseinstellungen gesetzt werden.
Vorgehen:
Firmware Upgrade ausführen
Factory Reset durchführen (Büroklammer)
Suchen der MRD’s über mDNS (Button «Start Scan»)
oder manuellem Einfügen mittels IP Adresse
Einbinden eines MRD’s in WeConfig
25. 32
Einbinden eines MRD’s in WeConfig
Das MRD ist nun im Projekt integriert, es kann momentan aber
noch nicht konfiguriert werden.
Dazu sind folgende Schritte notwendig:
Unter dem Punkt «Configuration» – «Password»
muss nun das Default Passwort geändert und ein
API-Passwort vergeben werden
Nach dem betätigen von «Apply» sollte eine Bestätigung
erfolgen, dass das Passwort erfolgreich geändert wurde.
➔ Das Projekt sollte nun gesichert werden
Jetzt muss im MRD noch LLDP aktiviert werden, damit die Links
erkannt werden können
26. 33
WeConfig und die MRD’s
Im aktuellen Integrationsschritt werden folgende Funktionen
unterstützt:
Unter dem Menüpunkt «Selected Device» sind folgende
Funktionen aktive:
▪ Properties
Hier können nun diverse Informationen zur Hardware sowie
der Zustand der WLS Verbindung ausgelesen werden
▪ Configuration Files
▪ Backups ziehen
▪ Konfigurationen In- und Exportieren
▪ Konfiguration auf das MRD laden (Restore)
▪ ➔Die «Compare» Funktion ist möglich, allerdings
werden dabei nur die beiden Binärdateien verglichen,
was ohne Nutzen ist
27. 34
WeConfig und die MRD’s
▪ Communication Details
Hier werden die Traffic Counters der LAN Schnittstelle
angezeigt
▪ Attachements
Auch zu den MRD’s können, wie zu allen anderen Geräten,
Anhänge im Projekt mitgegeben werden.
28. 35
WeConfig und die MRD’s
Das Basic Setup konfiguriert die LAN (1) Schnittstelle mit:
▪ IP Adresse
▪ Subnetzmaske
▪ Hostname
▪ Location
▪ ➔ Die Konfiguration des Gateways wird nicht unterstützt!
Firmware Update:
Am interessantesten für viele dürfte die Unterstützung von
Firmware Updates sein. Diese können nun einfach mit WeConfig
durchgeführt werden.