Příspěvky

1

Sítě / Re:VPN - přenosné připojení pro offline lokality

« kdy: 24. 02. 2022, 15:53:45 »

Vzhledem k tomu, že zařízení průmyslové automatizace používají různé bizardní proprietární protokoly které nemusí fungovat když se jim do cesty postaví NAT a funkčnost případně použitelnost ovládacího software může být závislá na velmi krátké odezvě tak konfigurování přes VPN nebude řešením které bude univerzálně spolehlivé.
Tam kde se plc konfiguruje přes web nebo modbus TCP to problém asi nebude, ale nějaké OPC nebo jiné zrůdnosti moc dobře fungovat nebudou.

Už jsem psal. Existuje proprietální řešení od firmy EWON (ale jsou i další podobné), kterým to přes VPN funguje. Občas to bolí, ale celkově to funguje. Přiznám se, že zrovna OPC jsem přes to nikdy netahal. Tam kde je offline LAN, tam jsme OPC nikdy nepoužívali. Tam kde je OPC, tam je to připojeno do větší sítě a existuje způsob, jak se připojit po infrastruktuře zákazníka. Ale mám pocit, že přes ten EWON by mělo fungovat i OPC.
Nejsem síťař, netuším, jestli jsem si vybral úkol, který je velmi obtížný, jestli řešení EWONu zahrnuje velké know-how zkušených lidí a nelze to tak snadno napodobit, nebo jestli je to snadné, jak tu píší někteří.

Univerzální řešení bude notebook/NUC na kterém bude nainstalován konfigurační software a vy se k němu připojíte přes teamviewer/remoteDesktop/VNC

Díky, to jsem už také psal, že nechci. Když to jde, tak to použijeme, ale pro určité situace prostě potřebuji dostat k zákazníkovi nějaký konkrétní notebook, konkrétního programátora.

2

Sítě / Re:VPN - přenosné připojení pro offline lokality

« kdy: 24. 02. 2022, 09:54:14 »

Na tenhle ucel by se dost hodilo nativni IPv6 na zarizenich + povoleni vybranych bloku "ze kterych je povolena sprava zarizeni" ve firewallu zakaznika (zarizeni by musela mit default gateway).

Řešení, jak se přes IPv6 dostat do IPv4 LANky zní zajímavě, jsou tam ale 2 problémy
1) Já IPv6 vůbec neumím. Já neumím ani IPv4, nicméně jsem schopen metodou google-omyl něco nastavit.
2) Ten vzdálený pracovník může být na různých typech připojení. Různá domácí, hotelová nebo mobilní připojení. Klidně bez IPv6. Věnovat energii řešení, které bude fungovat jenom někdy, se mi nechce.

3

Sítě / Re:VPN - přenosné připojení pro offline lokality

« kdy: 24. 02. 2022, 09:44:38 »

Když by ta krabička měla být už počítač (NUC apod.), tak jestli by nebylo lepší tam dát nějaký plnohodnotný systém s možností vzdáleného připojení (např. TeamViewer)

Díky, ale ne. Toto používáme, když to jde, ale já se potřebuji připojit a pracovat tam s konkrétním proprietálním licencovaným SW. Případně tam potřebuji připojit externistu, který má na svém počítači licence, které nemáme ani my.

4

Sítě / VPN - přenosné připojení pro offline lokality

« kdy: 23. 02. 2022, 19:24:03 »

Potřebuji se vzdáleně připojovat k zařízením, která jsou v OFFLINE lokální síti zákazníka. Typicky různé počítače, PLC automaty, frekvenční měniče v rámci jednoho stroje ve výrobní firmě. Ta zařízení typicky NEMAJÍ ve své IP konfiguraci nastavenu Gateway.

Potřebuji "být v té lokální síti", vidět ta zařízení, pingnout na ně, připojit se k jejich webovém serveru, spojit se s nimi pomocí jejich proprietálního software.

Řešení obecně vidím v tom, že bude existovat nějaká krabička (něco jako chytrý router, jednodeskový počítač, případně starší laptop), který se předem nakonfiguruje a následně zapojí do místní sítě a připojí se k internetu a ta krabička zajistí, že se někdo dokáže ze svého PC vzdáleně připojit do té místní sítě.

Ta krabička bude přenosná a bude se převážet mezi různými firmami a vzdálený pracovník se bude připojovat tam, kde ji technik zrovna zapojí (a kde ji připojí k internetu).

To co chci, už tímto způsobem vlastně používáme, ale jako placené řešení firmy ewon.
https://www.ewon.biz/technical-support/pages/talk2m?ordercode=talk2m
Ewon je zdarma při občasném použití, ale při častém použití je dost drahý, proto bych chtěl něco podobného, ale ve vlastní režii.

Moje naivní schéma je zde:

https://imgway.cz/8T6e/VzdalenePripojeni1.png

Předpokládám, že bych potřeboval VPS server, na kterém by běžel OpenVPN server (cena VPS serveru problém není). Mám na tu VPS nějaké zvláštní požadavky (kromě dostatečného množství měsíčních dat)?
Předpokládám, že vzdálenému pracovníkovi by na počítači s windows by běžel pouze OpenVPN klient. Vzdálený pracovník bude připojen nějakým domácím nebo mobilním připojením k internetu.
Ale co ta krabička?
- Musí mít ethernetový port, aby se připojila k té LAN.
- Musí být schopna se připojit k internetu (např. přes wifi, nebo přes LTE SIM - lépe obojí, ideálně by měla mít ethernetový WAN port, ale to není nutné). Ten internet bude typicky "špatný", tedy žádná veřejná IP adresa a nemožnost se domluvit na nějakém přesměrování portů. Buď místní wifi, nebo mobilní data.
- Musí jít nakonfigurovat tak, aby se k internetu a VPN připojila po restartu sama, případně, aby to někdo méně zkušený dokázal zapnout přes webové rozhraní (dle připraveného návodu).

Jdu správným směrem? Poradíte jaká krabička by byla vhodná?

Pokud se budu chtít připojit do místní sítě, kde bude jiný privátní rozsah, budu muset měnit konfiguraci pouze v krabičce, nebo i na VPS OpenVPN serveru?
Nebo se pletu a je to složitější a abych byl vzdáleně přítomen v té LAN, tak by na krabičce musel běžet VPN server?

Díky.

5

Sítě / Re:Orientace jak na VPN

« kdy: 12. 04. 2021, 18:10:29 »

Díky, všem, někam se posouvám, mám další dotaz:
Nyní hledám LTE modem.
Dal bych na vás a šel do mikrotiku, ale v jejich nabídce jsem nenašel takový, který by měl externí anténu (modem bude v plechovém rozváděči a venku bude pouze ta anténa).
Našel jsem toto:
Teltonika TRB140 Gateway: https://eshop.sectron.cz/cs/teltonika-trb140-gateway-trb140003000/p-13058/
Pochopil jsem, že to umí OpenVPN v roli server i klient, takže mám otevřené dveře oběma směry. A použitý RutOS je zřejmě odvozený z OpenWrt, takže snad dostačně funkčně bohatý.

Chápu to ale správně, že když někde v internetu poběží OpenVPN server a ten modem se k němu připojí jako OpenVPN klient, tak budou mít do té VPN sítě přístup zařízení připojená po ethernetu do toho modemu (tedy to PLC)?

A ještě jeden dotaz: Je u takovýchto krabiček typu mikrotik běžné, že se jim nastaví role VPN klient nebo server a ony po každém restartu nastartují do té role (tedy že se automaticky spustí server, nebo se klient automaticky snaží připojit k předdefinovanému serveru)? Nerad bych se dočkal nemilého překvapení :-)

Jinak ty důvody, proč (ne)flashovat originální firmware za openwrt, ta diskuze, co tu probíhá, to je  bohužel daleko za mým chápáním.

6

Sítě / Re:Orientace jak na VPN

« kdy: 11. 04. 2021, 21:21:26 »

Co musí být ve vzdálené síti za zařízení, aby to do VPN sítě vystavilo celou tu lokální síť?

Nerozumím. Nejdřív jsi řešil komunikaci s PLC, teď chceš vystavovat celou síť.

Nejsem síťař a nevím, co je možné a co je schůdné. Vycházím z toho, že když se na PLC nedá nainstalovat VPN klient (tedy PLC se nebude moci připojit k VPN serveru vlastními prostředky), tak se bude muset přes VPN připojit celá síť ve které to PLC je. Je to chybná úvaha?

Je na PLC možno změnit default route, případně nastavit specifickou routu? Je OK když se na PLC bude přistupovat přes NAT?

Nevím, co je default route. Na PLC se dá nastavit IP, maska a gateway. A ta gateway musí svou IP odpovídat té síti, kterou definuje ta IP a maska.

Já bych to dělal takhle:

• Musíš si pořídit stroj na kterém spustíš OpenVPN server. Ten stroj musí mít alespoň jeden port (ideálně UDP) dostupný z internetu - veřejná IP, port forward… Může to být VPS za pár desetikorun (e.g. Forpsi) nebo jestli máš kdekoli účet nebo si můžeš udělat port forward.
• Na OpenVPN serveru nastavíš adresní rozsah který nebude s ničím kolidovat, třeba 10.94.157.0/24 a povolíš client-to-client.
• Do cílové sítě zapojíš počítač (doporučil bych třeba nějaký routřík s OpenWRT - já bych použil třeba https://www.i4wifi.cz/cs/210637-routerboard-mikrotik-hex-lite nebo RB750Gr3 pokud je potřeba vyšší propustnost (ten dá tak 20 Mb/s) a na něj dal OpenWRT) a teď jsou dvě možnosti:
• 1) na PLC nastavíš routu aby 10.94.157.0/24 šlo přes ten tvůj routřík (vyžaduje mít možnost na PLC nastavovat routu)
• 2) nebo na routříku zapneš pro jeho ethernetové rozhraní maškarádu (způsobí že na PLC budeš přistupovat přes NAT, což může dělat problémy pokud komunikace vyžaduje aby se toto nedělo)
• Na ovládací počítač nainstaluješ OpenVPN a pomocí iroute (nikdy jsem nedělal) nebo nastavením routy na počítači a serveru zařídíš aby pakety chodily.

Pokud se na PLC nedá nastavit ta "routa", tak celé to řešení padá, nebo se to dá nějak překonat?

A nebo:

ale dalo by se to obrátit, že VPN server poběží na kancelářském PC (kde bude možná domluva s ISP o přesměrování portů na to PC) a ve vzdálené síti bude nějaký klient, který nepřipojí do VPN pouze sebe, ale celou tu místní síť? Jde to vůbec takto?

Tohle je mnohem jednodušší, protože si ušetříš to routování na klienta přes server! Takže pokud je toto možné, použij toto.

Ano, to zní skvěle. Ale to je moje otázka - jestli to tak jde - a co k tomu potřebuji. Jaké zařízení funguje jako VPN klient a připojí celou síť ve které se nachází.

// pokud je potřeba vyšší propustnost než 20 Mb/s, je nutné buď pořídit výkonnější HW než ten RB750Gr3 nebo použít Wireguard, který je násobně výkonnější, nastavení má analogické, ale asi to bude trochu větší opruz

To jsem opomněl zmínit, požadavky na datovou propustnost jsou minimální.

7

Sítě / Orientace jak na VPN

« kdy: 10. 04. 2021, 21:29:24 »

Ahoj.
Stávající stav: Mám někde lokální ethernetovou síť s několika zařízeními (dále vzdálenou). V té síti je nějaké PLC, které něco řídí a nějaké PC, které komunikuje s tím PLC, čte a zobrazuje data z PLC a zapisuje do toho PLC nějaké změněné parametry.
Zařízení ve vzdálené síti mají fixně nastavené IP adresy.

Cílový stav je, že to PC se přesune někde daleko (do kancelářské budovy), ale zůstane zachována komunikace s tím PLC.

PC je s windows, v kancelářské budově bude připojeno do internetu. Vzdálená síť bude taktéž připojena do internetu (nejspíš nějakým GSM-4G modemem). Přepokládám, že toto je řešitelné nejlépe skrze VPN. Celé to nebude zapadat do žádné infrastruktury zákazníka (zákazník žádnou VPN nemá).
Zřejmě žádný účastník nebude mít veřejnou IP adresu (a na straně vzdálené sítě zřejmě nebude s mobilním operátorem možná domluva o přesměrování portů).
Na to PLC není možné nainstalovat žádný klientský ani serverový VPN software.

Vůbec nevím, jak to mám uchopit. Co musí být ve vzdálené síti za zařízení, aby to do VPN sítě vystavilo celou tu lokální síť?
1) Nějaký počítač se dvěma eth rozhraními (WAN a LAN), na kterém poběží VPN server?
Na ovládacím PC v kanceláři by byl zřejmě nainstalován VPN klient

2) Nebo by VPN server bez veřejné IP adresy nefungoval, ale dalo by se to obrátit, že VPN server poběží na kancelářském PC (kde bude možná domluva s ISP o přesměrování portů na to PC) a ve vzdálené síti bude nějaký klient, který nepřipojí do VPN pouze sebe, ale celou tu místní síť? Jde to vůbec takto?

Na uživatele PC je možno klást požadavky, aby se po restartu sám někde připojil (apod.), ale v té vzdálené síti musí vše najet automaticky.
Požadavky na bezpečnost jsou velmi malé a pokud třeba někdo považuje OpenVPN za děravé, tak tady to vůbec nevadí.
Nice to have: Je to bezúdržbové, tzn. není potřeba aby se to jednou nastavilo a pak se o to nemusel starat nějaký admin.