#Praktyczna 3 – połączenie panel HMI – wiele urządzeń (jeden VPN)

Zaletą tego rozwiązania jest niska cena (wykorzystujemy tylko 1 serwer VPN) ale:
- ograniczamy się do jednego urządzenia podłączonego do jednego routera końcowego
- dostęp do jednego urządzenia umożliwia dostęp do wszystkich urządzeń - w myśl zasady "najsłabszego ogniwa"
- w przypadku transmisji z wykorzystaniem GSM zapytania rozsyłane są po całej sieci - co może mieć znaczenie w przypadku ograniczonej ilości zużytych danych.

schemat ideowy

Założenia:
- panel operatorski/komputer/tablet połączony z routerem wiążącym (Wifi, LAN)
- router wiążący z obsługą OpenVPN i dostępem do Internetu
- router końcowy z obsługą OpenVPN i dostępem do Internetu – urządzenie podłączone jest do routera końcowego w jednej sieci LAN/ WLAN
- jeden serwer VPN
Przykład zostanie przedstawiony na routerach MikroTik-a, które są dostępne w naszej ofercie po bardzo atrakcyjnych cenach. Zapraszamy Cię do naszego sklepu LINK.

Konfiguracja routera końcowego:
Konfigurację zaczynamy od routera końcowego
Aby nawiązać połączenie z serwerem AutomatykaVPN.pl należy takie połączenie odpowiednio skonfigurować na urządzeniu. W tym celu:
- uruchamiamy WinBox, program służący do konfiguracji urządzeń MikroTik-a, który możesz pobrać bezpośrednio ze strony producenta https://mikrotik.com/download lub klikając LINK.
Są dostępne inne opcje konfiguracji ale ze względu na interfejs graficzny i prostotę poruszania się – sugerowana przez nas.
Łączymy nasze urządzenie z komputerem przewodem RJ45 („skrętką”) i po chwili w zakładce „Neighbors” powinny wyświetlić się dane naszego router-a.
Pamiętamy: domyślny adres urządzeń MikroTik to 192.168.88.1. Zalogować się możemy na 2 sposoby:
1. klikając w MAC Address (wtedy w linii „Connect To:” powinien pojawić się MAC Address urządzenia)
2. wpisując adres IP urządzenia – w tym przypadku żeby się połączyć musimy w ustawieniach karty sieciowej w Windows ustawić adres z tej samej puli, np. 192.168.88.12
Klikamy Connect.

winbox

Po zalogowaniu przechodzimy do zakładki PPP (1)na stronie głównej:
w zakładce Interface wciskamy niebieski krzyżyk (2) i wybieramy opcję OVPN Client (3)

winbox ppp

w zakładce General (4)→ Name (5) wpisujemy pisujemy dowolną nazwę połączenia.

winbox ppp 2

W zakładce Dial Out (6) uzupełniamy kolejno pola:
(pamiętaj: uzupełniamy danymi danymi użytkowników serwera ponieważ konfigurujemy jako router jako ROUTER KOŃCOWY)
Connect to (7) → wpisujemy adres serwera
Port (8) → wpisujemy nr portu
User (9) → otrzymany login
Password (10) → otrzymane hasło
Profil (11) → wybieramy default-encryption
Cipher (12) → AES 256
Po uzupełnieniu wszystkich wymaganych pól zatwierdzamy przyciskiem Apply (13) i sprawdzamy status połączenia (w prawym dolnym rogu) – powinna wyświetlić się informacja Status: Connected. W przypadku braku nawiązania połączenia koniecznie należy sprawdzić wszystkie pola pod kątem pomyłek, białych znaków, itd.

winbox pp3

* dane możesz pobrać z panelu klienta na stronie AutomatykaVPN.pl klikając w ten LINK


Przechodzimy do zakładki Serwery (1*) a następnie wybieramy szczegóły dla wybranego serwera VPN (2*).

serwervpn1

Jeśli nie mamy stworzonego użytkownika serwera to robimy sami poprzez przycisk„Utwórz użytkowników” (3*)

serwervpn2

Po utworzeniu nowego użytkownika wyświetlamy konfigurację dla użytkownika serwera „Wyświetl konfigurację” (4*) - znajdziesz tam wszystkie niezbędne dane do prawidłowego utworzenia połączenia.

serwervpn3

Bardzo ważne:
W przypadku tego rozwiązania na routerach końcowych wykorzystujemy dostęp do serwera VPN jako użytkownik serwera.
Przechodzimy do zakładki IP (14) ze strony głównej, a następnie Addresses (15). Edytujemy aktualny adres urządzenia poprzez dwukrotne kliknięcie w obecny adres i zmieniamy pola:
Addresses (16) – wpisujemy DOWOLNY adres naszego routera (jeśli do routera będą podłączone inne urządzenia to nie możemy zapomnieć o masce sieci w skróconym zapisie np. 192.168.1.1/24).
Network (17) – tutaj wpisujemy adres sieci, np. 192.168.1.0
Interface (18) – przypisujemy interface dla naszej grupy adresowej (w przypadku WAP LTE sugerowane jest przypisanie do ether1)

winbox pp3

Ponownie wybieramy zakładkę IP (19) ze strony głównej, a następnie:
Firewall (20) – dezaktywujemy opcję nr 4 (dla Mikrotik WAP LTE) „drop all not comming from LAN” – poprzez najechanie i zaznaczenie wybranej pozycji (21) a następnie dezaktywujemy czerwonym krzyżykiem (22)

firewall

dodatkowo sugerujemy zabezpieczyć urządzenie poprzez:
• włączenie watchdog-a w celu kontroli systemu i braku odpowiedzi z konkretnego adresu IP,
• ustawienie hasła do konta użytkownika ,
• wyłączenie WLAN jeśli nie będzie używany - WAP LTE ma domyślnie aktywowany
Watchdog
1. znajdziemy w zakładce System (23) → Watchdog (24)

watchdog

W polu Watch Address (25) sugerujemy wpisać 1.1.1.1 (Cloudflare) bądź 8.8.8.8 (Google) – są to adresy darmowych serwerów DNS. Pozostałe opcje bez zmian.
Hasło
możemy dezaktywować na 2 sposoby:
wybieramy zakładkę System (26) → Users (27) następnie dwukrotnie klikamy na użytkownika (28) i edytujemy hasło (29) wpisując je w pole New Password i Confirm Password (30).

haslo

oraz poprzez zakładkę Quick Set (31) a następnie uzupełniamy linijki:
Password oraz Confirm Password (32) i zatwierdzamy (33). Należy pamiętać, że konfigurując hasło w ten sposób możemy nieświadomie aktywować WLAN (dla WAP LTE).

haslo2

WLAN
Jest kilka możliwości aby wyłączyć sieć WLAN – najprostszą wydaje się wybór zakładki Interfaces (34) najeżdżamy myszką na interfejs WLAN (35), zaznaczamy go a następnie czerwonym krzyżykiem dezaktywujemy (36).

wlan

Z zakładki IP (42) wybieramy Firewall (43), następnie przechodzimy do zakładki NAT (44), niebieskim krzyżykiem dodajemy nową regułę.

NAT

W zakładce General (46) uzupełniamy
Chain (47) → wybieramy srnat
Out.interface (48) → wybieramy dostępny interfejs naszego połączenia VPN (jeśli nie wiesz, który to jest – to zachęcam Cię do sprawdzenia w zakładce Interfaces)

NAT2

W zakładce Action (49)
Action → masquerade (50)

NAT3

Ponownie dodajemy nową regułę niebieskim krzyżykiem tym razem dla dstnat
W zakładce General uzupełniamy
Chain (51)→ wybieramy dstnat
Dst. Address (52) → wpisujemy nasz zewnętrzny adres IP serwera VPN zaczynający się od 10. np. 10.22.11.1 (patrz podpunkt 4*)
Protocol (53)→ TCP
Dst. port (54) → tutaj możemy wpisać nr portu albo zakres portów do przekierowania. W przypadku braku uzupełnienia przekierowane są domyślnie wszystkie.
Pamiętamy o zasadzie nasz zewnętrzny adres IP serwera → nasz lokalny adres urządzenia.

NAT4

W zakładce Action
Action (55)→ dst-nat
To Addresses (56)→ tutaj wpisujemy adres lokalny naszego urządzenia docelowego do którego będziemy się odwoływać np. 192.168.1.10 (jest to adres sterownika PLC podłączonego do routera końcowego)
To Ports→ uzupełniamy jeśli chcemy odwoływać się do konkretnego portu lub ich zakresów

NAT5

UWAGA: ważna jest kolejność scrnat i dscnat, reguły scrnat zawsze muszą być wyżej niż dscnat.

serwervpn1

Konfiguracja routera wiążącego:

Łączy nasz urządzenie z komputerem przewodem RJ45 („skrętką”) i po chwili w zakładce „Neighbors” powinny wyświetlić się dane naszego router-a.
Pamiętamy: domyślny adres urządzeń MikroTik to 192.168.88.1. Zalogować się możemy na 2 sposoby:
1. klikając w MAC Address (wtedy w linii „Connect To:” powinien pojawić się MAC Address urządzenia)
2. wpisując adres IP urządzenia – w tym przypadku żeby się połączyć musimy w ustawieniach karty sieciowej w Windows ustawić adres z tej samej puli, np. 192.168.88.12
Klikamy Connect.

winbox

Na samym początku musimy powiązać router wiążący z wcześniej skonfigurowanymi routerami końcowymi - w tym celu przechodzimy przechodzimy do zakładki PPP (1)na stronie głównej:
w zakładce Interface wciskamy niebieski krzyżyk (2) i wybieramy opcję OVPN Client (3)

winbox ppp

w zakładce General (4)→ Name (5) wpisujemy nazwę połączenia routera wiążącego z serwerem AutomatykaVPN.pl, np. AutomatykaVPN

winbox ppp 2

W zakładce Dial Out (6) uzupełniamy kolejno pola:
(pamiętaj: uzupełniamy danymi danymi routera głównego ponieważ konfigurujemy jako router jako ROUTER WIĄŻĄCY)
Connect to (7) → wpisujemy adres serwera
Port (8) → wpisujemy nr portu
User (9) → otrzymany login
Password (10) → otrzymane hasło
Profil (11) → wybieramy default-encryption
Cipher (12) → AES 256
*jeśli nie masz danych do logowania znajdziesz je w panelu klienta na stronie AutomatykaVPN.pl

winbox pp3

Przechodzimy do zakładki Serwery (1*) a następnie wybieramy szczegóły dla wybranego serwera VPN (2*).

serwervpn4

Wyświetlamy konfigurację dla routera głównego „Wyświetl konfigurację” (3*) - znajdziesz tam wszystkie niezbędne dane do prawidłowego utworzenia połączenia.

serwervpn5

Po uzupełnieniu wszystkich wymaganych pól zatwierdzamy przyciskiem Apply (13) i sprawdzamy status połączenia (w prawym dolnym rogu) – powinna wyświetlić się informacja Status: Connected. W przypadku braku nawiązania połączenia koniecznie należy sprawdzić wszystkie pola pod kątem pomyłek, białych znaków, itd.
Bardzo ważne:
W przypadku tego rozwiązania na routerze wiążącym wykorzystujemy dostęp do serwera VPN jako Ruter główny.
Przechodzimy do zakładki IP (14) ze strony głównej, a następnie Addresses (15). Edytujemy aktualny adres urządzenia poprzez dwukrotne kliknięcie w obecny adres i zmieniamy pola:
Addresses (16) – wpisujemy adres naszego routera nie zapominając o masce sieci w skróconym zapisie np. 172.31.108.1/24. Sugerujemy używać tej samej adresacji co klasa adresowa serwera VPN.
Network (17) – tutaj wpisujemy adres sieci, np. 172.31.108.0
Interface (18) – przypisujemy interface dla naszej grupy adresowej (w przypadku routera wiążącego wybieramy bridge)

IP adresacja

Teraz będziemy dodawać kolejne adresy IP służące do odwołań
Bardzo ważne:
Przyjmujemy, że router wiążący ma adres z końcówką 1 (172.31.108.1/24) – przed chwilą tak został skonfigurowany, a każdym kolejnym adresem będziemy odwoływać się do naszych urządzeń za routerem końcowym: tzn. wpisując adres 172.31.108.2 – odwołamy się do pierwszego urządzenia za pierwszym routerem końcowym, 172.31.108.3 – odwołamy się do pierwszego urządzenia za drugim routerem końcowym, itd. - jeśli urządzeń jest więcej to operację powtarzamy nadając kolejne numery. Pamiętając tylko o używaniu tej samej adresacji co klasa adresowa serwera VPN dla routera wiążącego. Aby dodać adresy odwołań: – wybieramy z zakładki IP (36) – Addresses (37). Niebieskim krzyżykiem (38) dodajemy nowy adres, uzupełniając: Address (39) adres IP z klasy adresowej routera wiążącego. Dla przykładu powyższego mamy pulę adresową 172.31.108.1/24 to wpisujemy adres urządzenia do którego będziemy odwoływać się w przyszłości, np. 172.31.108.2., 172.31.108.3, w zależności ile tych urządzeń będzie Network (40) – tutaj wpisujemy adres sieci, np. 172.31.108.0 Interface (41) – wybieramy bridge

IP adresacja

Operację powtarzamy dla wszystkich odwołań. Nasza lista może wyglądać jak na poniższym obrazku.

IP adresacja 2

Z zakładki IP (42) wybieramy <Firewall (43), następnie przechodzimy do zakładki NAT (44), niebieskim krzyżykiem dodajemy nową regułę.

NAT

W zakładce General (46) uzupełniamy
Chain (47) → wybieramy srnat
Out.interface (48) → wybieramy interfejs naszego połączenia VPN (jeśli nie wiesz, który to jest – to zachęcam Cię do sprawdzenia w zakładce Interfaces znajdującej się w menu głównym)

NAT2

W zakładce Action (49) Action → masquerade (50)

NAT3

Ponownie dodajemy nową regułę niebieskim krzyżykiem tym razem dla dstnat
W zakładce General uzupełniamy
Chain (51)→ wybieramy dstnat
Dst. Address (52) → wpisujemy nasz adres IP z listy adresowej przy pomocy którego będziemy się odwoływać do innego urządzenia, np. 172.31.108.2
Protocol (53)→ TCP
Dst. port (54) → tutaj możemy wpisać nr portu albo zakres portów do przekierowania. W przypadku braku uzupełnienia przekierowane są domyślnie wszystkie.

NAT4

W zakładce Action
Action (55)→ dst-nat
To Addresses (56)→ tutaj wpisujemy adres IP zewnętrzny naszego routera końcowego do którego będziemy się odwoływać np. 10.31.108.15 (jest to adres jednego z routerów końcowych)
To Ports→ uzupełniamy jeśli chcemy odwoływać się do konkretnego portu lub ich zakresów

NAT5

UWAGA: ważna jest kolejność scrnat i dscnat, reguły scrnat zawsze muszą być wyżej niż dscnat.
Tworzymy tyle przekierowań dscnat ile mamy odwołań do adresów na routerach końcowych.
Finalnie dla powyższego przykładu odpytując adres na routerze wiążącym 172.31.108.3 nastąpi przekierowanie do routera końcowego pod adresem 10.31.108.15.
Po skonfigurowaniu routera wiążącego i końcowych wg powyższych schematów możemy rozpocząć pracę.

schemat ideowy

Pn. - Pt. / 8:00 - 16:00

Godziny pracy biura

+48 694-663-717

Infolinia

biuro@automatykavpn.pl

Wsparcie techniczne

Korzystając ze strony akceptujesz

Politykę prywatności X