Orientace jak na VPN

M_D

  • ****
  • 319
    • Zobrazit profil
    • E-mail
Re:Orientace jak na VPN
« Odpověď #15 kdy: 12. 04. 2021, 20:28:24 »
První podstatný bod, zda ta komunikace mezi PLC a tou aplikací v PC je na L3 na bázi TCP/IP s plným routingem nebo je to něco, co používá průmyslový protokol, který vyžaduje L2 propojení (některé, přestože umí IP protokol, tak neumí jinou síť než lokální segment). Další bod u některých protokolů jsou timeouty, kdy LTE síť je "pomalá na odezvy" a komunikace se neudrží. To může trochu omezit jaké krabičky/konfigurace se použije.

Takovéto propojení se řeší nad LTE nejlépe pomocí privátního APN u operátora. Ale pro dvě zařízení trochu overkill, pro větší instalace jsou to desetikoruny za koncový bod/měsíc. :-( Minimálně O2 míval pro takovéto malé instalace na to tarif se speciálním APN, kdy komuinikace šla mimo Internet. Možná by to bylo pro ty dva body levnější než pevná veřejná IP adresa na jednom konci a ubude i obtížného hmyzu z Internetu.
Kolega má takto v Česku propojeny v řádu stovek zařízení na svoji centrálu, kde se dělá dohled a sběr dat z PLC a automatů různě v polích (řízení plynové soustavy). Je to bod-bod na jeho IPčkách, co přidělí, zařízení se vzájemně vidí, žádné NAT/přesměrování portů po cestě a uvnitř toho ještě má VPNku (IPsec), aby do toho operátor neviděl.
Já mám něco podobného world-wide několik set, někde vlastní APN, někde přes lokální Internet, někde satelitní modemy. V mém případě otvírají koncové krabičky 2x SSTP tunely do centrály, kde opět běží dohled, konfigurace (přes Modbus/TCP plus nějaká L2 sračka, co vyžaduje "čistý ethernet", proto SSTP s použitím BCP bridge).

Kolega plynař i elektro jako koncové krabičky používá ty proklínané mikrotiky. :-/ Já jsem zaujat, on ječí radostí, že se zbavil všech těch průmyslových LTE zařízení jako to zmíněné TLB140 a další (požívali cca 5 typů různých výrobců), že s tím byly nekonečné problémy, aby se to udrželo v spolehlivém provozu, že co potřebuje, tak si v tom Mikrotiku doskriptuje. Má použity RB 912R-2nd-LTM, s jednou LTE kartou a dvěma SIMkama, když lehne jeden operátor, přepíná skriptem na druhého. Samozřejmě externí antény vytažené ven z budky.


ja.

  • ****
  • 316
    • Zobrazit profil
    • E-mail
Re:Orientace jak na VPN
« Odpověď #16 kdy: 12. 04. 2021, 22:37:12 »
Má použity RB 912R-2nd-LTM...

Ja by som len upozornil, že RB 912R-2nd-LTM sa dodáva bez LTE modemu, takže pri naceňovaní je asi vhodnejšie pozerať po "LtAP mini LTE kit" alebo "LtAP mini 4G kit", kde je v balení aj modem (rozdiel medzi modemami v LTE kit a 4G kit je v podporovaných frekvenciách a v podpore TDD). A rovno prihodiť aj ACSMAUFL, keď chcete externú anténu a v prípade tohto modelu nebáť sa skrutkovača a vylamovania predlisovaného otvoru: k LtAP sa dá pripojiť externá anténa, ale nie je vyvedený konektor; je tam len predpríprava.

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Orientace jak na VPN
« Odpověď #17 kdy: 13. 04. 2021, 00:09:41 »
> A použitý RutOS je zřejmě odvozený z OpenWrt,

Nie, ROS nie je odvodený z OpenWRT. Oba sú však postavené na linuxe, ale s rozdielnou filozofiou.
RutOS != RouterOS (ROS)

Vše zmíněné v ROS existuje.
tcpdump je v Tools -> Packet Sniffer, ukládá do paměti či .pcap souboru nebo posílá dump na jiný stroj (Streaming)
To podle mě není ekvivalent toho, co jsem psal, například to vyžaduje přímou síťovou viditelnost, nebude to fungovat přes devatero SSH tunelů, ne?

Chápu to ale správně, že když někde v internetu poběží OpenVPN server a ten modem se k němu připojí jako OpenVPN klient, tak budou mít do té VPN sítě přístup zařízení připojená po ethernetu do toho modemu (tedy to PLC)?
Ano pokud se jim nastaví routa (nebo gateway pokud neumí nastavit specifickou routu a nevadí že se jim změní gateway).

A ještě jeden dotaz: Je u takovýchto krabiček typu mikrotik běžné, že se jim nastaví role VPN klient nebo server a ony po každém restartu nastartují do té role (tedy že se automaticky spustí server, nebo se klient automaticky snaží připojit k předdefinovanému serveru)? Nerad bych se dočkal nemilého překvapení :-)
Ano, samozřejmě (a kdyby náhodou ne, tak to dáš do /etc/rc.local). Dokonce na OpenWRT je to default - jakmile vytvoříš konfigurák VPNky (v /etc/openvpn/tvoje_pojmenování.conf), tak se automaticky spouští při bootu. Na Debianu se musí automatický start aktivovat: systemctl enable openvpn@tvoje_jméno. Abych nekřivdil, na RouterOS je to taky default.
« Poslední změna: 13. 04. 2021, 00:17:46 od _Jenda »

_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Orientace jak na VPN
« Odpověď #18 kdy: 13. 04. 2021, 00:21:30 »
První podstatný bod, zda ta komunikace mezi PLC a tou aplikací v PC je na L3 na bázi TCP/IP s plným routingem nebo je to něco, co používá průmyslový protokol, který vyžaduje L2 propojení (některé, přestože umí IP protokol, tak neumí jinou síť než lokální segment).
To je dobrá poznámka. Lze to řešit pomocí OpenVPN v tap módu.