#Praktyczna 3 – połączenie panel HMI – wiele urządzeń (jeden VPN)

Zaletą tego rozwiązania jest niska cena (wykorzystujemy tylko 1 serwer VPN) ale:
- ograniczamy się do jednego urządzenia podłączonego do jednego routera końcowego
- dostęp do jednego urządzenia umożliwia dostęp do wszystkich urządzeń - w myśl zasady "najsłabszego ogniwa"
- w przypadku transmisji z wykorzystaniem GSM zapytania rozsyłane są po całej sieci - co może mieć znaczenie w przypadku ograniczonej ilości zużytych danych.

Założenia:
- panel operatorski/komputer/tablet połączony z routerem wiążącym (Wifi, LAN)
- router wiążący z obsługą OpenVPN i dostępem do Internetu
- router końcowy z obsługą OpenVPN i dostępem do Internetu – urządzenie podłączone jest do routera końcowego w jednej sieci LAN/ WLAN
- jeden serwer VPN
Przykład zostanie przedstawiony na routerach MikroTik-a, które są dostępne w naszej ofercie po bardzo atrakcyjnych cenach. Zapraszamy Cię do naszego sklepu LINK.

Konfiguracja routera końcowego:
Konfigurację zaczynamy od routera końcowego
Aby nawiązać połączenie z serwerem AutomatykaVPN.pl należy takie połączenie odpowiednio skonfigurować na urządzeniu. W tym celu:
- uruchamiamy WinBox, program służący do konfiguracji urządzeń MikroTik-a, który możesz pobrać bezpośrednio ze strony producenta https://mikrotik.com/download lub klikając LINK.
Są dostępne inne opcje konfiguracji ale ze względu na interfejs graficzny i prostotę poruszania się – sugerowana przez nas.
Łączymy nasze urządzenie z komputerem przewodem RJ45 („skrętką”) i po chwili w zakładce „Neighbors” powinny wyświetlić się dane naszego router-a.
Pamiętamy: domyślny adres urządzeń MikroTik to 192.168.88.1. Zalogować się możemy na 2 sposoby:
1. klikając w MAC Address (wtedy w linii „Connect To:” powinien pojawić się MAC Address urządzenia)
2. wpisując adres IP urządzenia – w tym przypadku żeby się połączyć musimy w ustawieniach karty sieciowej w Windows ustawić adres z tej samej puli, np. 192.168.88.12
Klikamy Connect.

Po zalogowaniu przechodzimy do zakładki PPP (1)na stronie głównej:
w zakładce Interface wciskamy niebieski krzyżyk (2) i wybieramy opcję OVPN Client (3)

w zakładce General (4)→ Name (5) wpisujemy pisujemy dowolną nazwę połączenia.

W zakładce Dial Out (6) uzupełniamy kolejno pola:
(pamiętaj: uzupełniamy danymi danymi użytkowników serwera ponieważ konfigurujemy jako router jako ROUTER KOŃCOWY)
• Connect to (7) → wpisujemy adres serwera
• Port (8) → wpisujemy nr portu
• User (9) → otrzymany login
• Password (10) → otrzymane hasło
• Profil (11) → wybieramy default-encryption
• Cipher (12) → AES 256
Po uzupełnieniu wszystkich wymaganych pól zatwierdzamy przyciskiem Apply (13) i sprawdzamy status połączenia (w prawym dolnym rogu) – powinna wyświetlić się informacja Status: Connected. W przypadku braku nawiązania połączenia koniecznie należy sprawdzić wszystkie pola pod kątem pomyłek, białych znaków, itd.

* dane możesz pobrać z panelu klienta na stronie AutomatykaVPN.pl klikając w ten LINK

Przechodzimy do zakładki Serwery (1*) a następnie wybieramy szczegóły dla wybranego serwera VPN (2*).

Jeśli nie mamy stworzonego użytkownika serwera to robimy sami poprzez przycisk„Utwórz użytkowników” (3*)

Po utworzeniu nowego użytkownika wyświetlamy konfigurację dla użytkownika serwera „Wyświetl konfigurację” (4*) - znajdziesz tam wszystkie niezbędne dane do prawidłowego utworzenia połączenia.

Bardzo ważne:
W przypadku tego rozwiązania na routerach końcowych wykorzystujemy dostęp do serwera VPN jako użytkownik serwera.
Przechodzimy do zakładki IP (14) ze strony głównej, a następnie Addresses (15). Edytujemy aktualny adres urządzenia poprzez dwukrotne kliknięcie w obecny adres i zmieniamy pola:
Addresses (16) – wpisujemy DOWOLNY adres naszego routera (jeśli do routera będą podłączone inne urządzenia to nie możemy zapomnieć o masce sieci w skróconym zapisie np. 192.168.1.1/24).
Network (17) – tutaj wpisujemy adres sieci, np. 192.168.1.0
Interface (18) – przypisujemy interface dla naszej grupy adresowej (w przypadku WAP LTE sugerowane jest przypisanie do ether1)

Ponownie wybieramy zakładkę IP (19) ze strony głównej, a następnie:
Firewall (20) – dezaktywujemy opcję nr 4 (dla Mikrotik WAP LTE) „drop all not comming from LAN” – poprzez najechanie i zaznaczenie wybranej pozycji (21) a następnie dezaktywujemy czerwonym krzyżykiem (22)

dodatkowo sugerujemy zabezpieczyć urządzenie poprzez:
• włączenie watchdog-a w celu kontroli systemu i braku odpowiedzi z konkretnego adresu IP,
• ustawienie hasła do konta użytkownika ,
• wyłączenie WLAN jeśli nie będzie używany - WAP LTE ma domyślnie aktywowany
Watchdog
1. znajdziemy w zakładce System (23) → Watchdog (24)

W polu Watch Address (25) sugerujemy wpisać 1.1.1.1 (Cloudflare) bądź 8.8.8.8 (Google) – są to adresy darmowych serwerów DNS. Pozostałe opcje bez zmian.
Hasło
możemy dezaktywować na 2 sposoby:
wybieramy zakładkę System (26) → Users (27) następnie dwukrotnie klikamy na użytkownika (28) i edytujemy hasło (29) wpisując je w pole New Password i Confirm Password (30).

oraz poprzez zakładkę Quick Set (31) a następnie uzupełniamy linijki:
Password oraz Confirm Password (32) i zatwierdzamy (33). Należy pamiętać, że konfigurując hasło w ten sposób możemy nieświadomie aktywować WLAN (dla WAP LTE).

WLAN
Jest kilka możliwości aby wyłączyć sieć WLAN – najprostszą wydaje się wybór zakładki Interfaces (34) najeżdżamy myszką na interfejs WLAN (35), zaznaczamy go a następnie czerwonym krzyżykiem dezaktywujemy (36).

Z zakładki IP (42) wybieramy Firewall (43), następnie przechodzimy do zakładki NAT (44), niebieskim krzyżykiem dodajemy nową regułę.

W zakładce General (46) uzupełniamy
Chain (47) → wybieramy srnat
Out.interface (48) → wybieramy dostępny interfejs naszego połączenia VPN (jeśli nie wiesz, który to jest – to zachęcam Cię do sprawdzenia w zakładce Interfaces)

W zakładce Action (49)
Action → masquerade (50)

Ponownie dodajemy nową regułę niebieskim krzyżykiem tym razem dla dstnat
W zakładce General uzupełniamy
Chain (51)→ wybieramy dstnat
Dst. Address (52) → wpisujemy nasz zewnętrzny adres IP serwera VPN zaczynający się od 10. np. 10.22.11.1 (patrz podpunkt 4*)
Protocol (53)→ TCP
Dst. port (54) → tutaj możemy wpisać nr portu albo zakres portów do przekierowania. W przypadku braku uzupełnienia przekierowane są domyślnie wszystkie.
Pamiętamy o zasadzie nasz zewnętrzny adres IP serwera → nasz lokalny adres urządzenia.

W zakładce Action
Action (55)→ dst-nat
To Addresses (56)→ tutaj wpisujemy adres lokalny naszego urządzenia docelowego do którego będziemy się odwoływać np. 192.168.1.10 (jest to adres sterownika PLC podłączonego do routera końcowego)
To Ports→ uzupełniamy jeśli chcemy odwoływać się do konkretnego portu lub ich zakresów

UWAGA: ważna jest kolejność scrnat i dscnat, reguły scrnat zawsze muszą być wyżej niż dscnat.

Konfiguracja routera wiążącego:

Łączy nasz urządzenie z komputerem przewodem RJ45 („skrętką”) i po chwili w zakładce „Neighbors” powinny wyświetlić się dane naszego router-a.
Pamiętamy: domyślny adres urządzeń MikroTik to 192.168.88.1. Zalogować się możemy na 2 sposoby:
1. klikając w MAC Address (wtedy w linii „Connect To:” powinien pojawić się MAC Address urządzenia)
2. wpisując adres IP urządzenia – w tym przypadku żeby się połączyć musimy w ustawieniach karty sieciowej w Windows ustawić adres z tej samej puli, np. 192.168.88.12
Klikamy Connect.

Na samym początku musimy powiązać router wiążący z wcześniej skonfigurowanymi routerami końcowymi - w tym celu przechodzimy przechodzimy do zakładki PPP (1)na stronie głównej:
w zakładce Interface wciskamy niebieski krzyżyk (2) i wybieramy opcję OVPN Client (3)

w zakładce General (4)→ Name (5) wpisujemy nazwę połączenia routera wiążącego z serwerem AutomatykaVPN.pl, np. AutomatykaVPN

W zakładce Dial Out (6) uzupełniamy kolejno pola:
(pamiętaj: uzupełniamy danymi danymi routera głównego ponieważ konfigurujemy jako router jako ROUTER WIĄŻĄCY)
• Connect to (7) → wpisujemy adres serwera
• Port (8) → wpisujemy nr portu
• User (9) → otrzymany login
• Password (10) → otrzymane hasło
• Profil (11) → wybieramy default-encryption
• Cipher (12) → AES 256
*jeśli nie masz danych do logowania znajdziesz je w panelu klienta na stronie AutomatykaVPN.pl

Przechodzimy do zakładki Serwery (1*) a następnie wybieramy szczegóły dla wybranego serwera VPN (2*).

Wyświetlamy konfigurację dla routera głównego „Wyświetl konfigurację” (3*) - znajdziesz tam wszystkie niezbędne dane do prawidłowego utworzenia połączenia.

Po uzupełnieniu wszystkich wymaganych pól zatwierdzamy przyciskiem Apply (13) i sprawdzamy status połączenia (w prawym dolnym rogu) – powinna wyświetlić się informacja Status: Connected. W przypadku braku nawiązania połączenia koniecznie należy sprawdzić wszystkie pola pod kątem pomyłek, białych znaków, itd.
Bardzo ważne:
W przypadku tego rozwiązania na routerze wiążącym wykorzystujemy dostęp do serwera VPN jako Ruter główny.
Przechodzimy do zakładki IP (14) ze strony głównej, a następnie Addresses (15). Edytujemy aktualny adres urządzenia poprzez dwukrotne kliknięcie w obecny adres i zmieniamy pola:
Addresses (16) – wpisujemy adres naszego routera nie zapominając o masce sieci w skróconym zapisie np. 172.31.108.1/24. Sugerujemy używać tej samej adresacji co klasa adresowa serwera VPN.
Network (17) – tutaj wpisujemy adres sieci, np. 172.31.108.0
Interface (18) – przypisujemy interface dla naszej grupy adresowej (w przypadku routera wiążącego wybieramy bridge)

Teraz będziemy dodawać kolejne adresy IP służące do odwołań
Bardzo ważne:
Przyjmujemy, że router wiążący ma adres z końcówką 1 (172.31.108.1/24) – przed chwilą tak został skonfigurowany, a każdym kolejnym adresem będziemy odwoływać się do naszych urządzeń za routerem końcowym: tzn. wpisując adres 172.31.108.2 – odwołamy się do pierwszego urządzenia za pierwszym routerem końcowym, 172.31.108.3 – odwołamy się do pierwszego urządzenia za drugim routerem końcowym, itd. - jeśli urządzeń jest więcej to operację powtarzamy nadając kolejne numery. Pamiętając tylko o używaniu tej samej adresacji co klasa adresowa serwera VPN dla routera wiążącego. Aby dodać adresy odwołań: – wybieramy z zakładki IP (36) – Addresses (37). Niebieskim krzyżykiem (38) dodajemy nowy adres, uzupełniając: Address (39) adres IP z klasy adresowej routera wiążącego. Dla przykładu powyższego mamy pulę adresową 172.31.108.1/24 to wpisujemy adres urządzenia do którego będziemy odwoływać się w przyszłości, np. 172.31.108.2., 172.31.108.3, w zależności ile tych urządzeń będzie Network (40) – tutaj wpisujemy adres sieci, np. 172.31.108.0 Interface (41) – wybieramy bridge