Le 23/02/2023 à 19:23, Toussaint OTTAVI a écrit :
Dans une centrale électrique, un boîtier DEIE pour la télégestion EDF.
Dedans, il y a un automate Sofrel S530, qui monte un tunnel IPSec vers
un concentrateur IPSec situé chez EDF. La configuration préconisée
demande d'ouvrir les ports 500 et 4500 sur la Livebox.
Merci à tous ceux qui ont répondu. Après analyse du bidule, des
préconisations, et contact de l'interlocuteur en charge du DEIE chez
EDF, voici un point complet, pour ceux que çà intéresse et/ou qui
seraient amenés à intervenir dans des installations de production électrique
Le système EDF DEIE se compose de plusieurs appareils distincts :
- Un boîtier Novexia, connecté en radio 80 MHz. Il n'est pas connecté en
IP. Il est donc sans objet ici.
- Un automate de télégestion Sofrel S550, connecté en IP. C'est une game
obsolète. Il nécessite des ouvertures de ports directes : 21, 80 et 502
(ModBus), et... un IE6 ! De temps en temps, il se fait DDoSser, et il
crashe :-) EDF envoie alors un tech pour le rebooter. Sofrel propose un
concentrateur VPN TCP NAT-T pour ces modèles, mais EDF ne l'a jamais
utilisé pour des raisons de compatibilité. Sofrel propose des automates
plus modernes (série S4W), avec HTML5, authentification par certificats,
etc... Cependant, EDF ne les a pas encore déployés à cause d'un contrat
de maintenance toujours en cours sur les S500. Cependant, l'upgrade est
à l'étude dans leur labo.
- Un oscilloperturbographe ALPATEC (seulement sur certaines
installations de production, et pas sur la mienne) : c'est celui-là qui
a besoin des ports UDP 500 / 4500. Le document de préco ne précise pas
si c'est en entrant ou en sortant, mais il ne demande pas de spécifier
l'IP WAN. J'en déduis donc que c'est du VPN IPSec sortant en NAT-T. Mais
cela reste une hypothèse, que je ne peux vérifier, faute d'avoir ce boîtier.
En conclusion, mon problème, à priori tarabiscoté au départ, se résume à
ouvrir des ports 21, 80 et 502 vers une DMZ...
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
