Vai al contenuto
PLC Forum


creazione VPN per assistenza PLC


zepego

Messaggi consigliati

Buongiorno,

premetto di aver letto vari post (e per questo ora più confuso di prima) e di non essere molto ferrato in materia reti di telecomunicazioni.

 

Quello che vorrei fare è creare una soluzione più versatile per fare avviamenti da remoto e assistenza ai clienti se richiesto.

Attualmente usiamo pc con i software installati e poi connessione tramite teamviewer o simili (ultimamente mi trovo meglio con anydesk). Ma questa soluzione ha lo svantaggio di richiedere i software installati sul pc del tecnico che va in campo (normalmente usiamo plc siemens per un 70% e rockwell 25% più o meno, ma non credo questo sia importante per quello che pensavo di fare).

Vorrei provare una soluzione migliore, ed in particolare sembrano interessanti quelle proproste da andrea annoni ed i router mikrotik per la creazione di VPN.

 

Nota importante: voglio ottenere qualcosa che non richieda di modificare nulla sull'eventuale router del cliente.

 

Ora, prima di imbattermi nella configurazione vera e propria, ho dei dubbi basilari da chiarirmi, se vorrete:

 

1) per il mio scopo il router da portare in campo va configurato come server giusto? ma nelle guide mi sembra di capire serva l'IP pubblico della rete "in campo".

Supponiamo che questa rete ci sia, l'IP pubblico non cambia periodicamente? bisogna/ha la possibilità il mikrotik di configurare anche un account per dns?

 

3) se invece la rete cablata non c'è (accade spesso) i mikrotik vedono solo chiave usb 3g/4g o anche tethering-usb da cellulare ad esempio? ed in questi casi come si fa con ip pubblico se variasse?

 

2) lato ufficio (PC con tia portal, per capirci) di cosa ho bisogno? altro mikrotik ? considerate che non ho la possibilità di configurare porte del router nemmeno da questo lato

chiedo perchè ho letto questa frase in una guida:

Quote

se utilizzate un modem o un router per la connessione è necessario aprire la porta 1194 tcp e fare un forward verso l’ip della wan mikrotik

 

3) leggendo alcuni primi esempi, ho visto che si richiede la generazione di certificati sia client che server, ma questi vanno messi dove? c'è qualcosa da configurare anche sul plc e quindi bisogna verificarne il supporto ?

 

non esiste una guida passo-passo per neofiti?

 

Grazie a tutti e scusate la "banalità" di alcun i miei dubbi

Link al commento
Condividi su altri siti


Andrea Annoni

Ciao, provo a rispondere alle domande.....

 

1) per il mio scopo il router da portare in campo va configurato come server giusto? ma nelle guide mi sembra di capire serva l'IP pubblico della rete "in campo".

Supponiamo che questa rete ci sia, l'IP pubblico non cambia periodicamente? bisogna/ha la possibilità il mikrotik di configurare anche un account per dns?

 

No, il router che porti in campo deve essere un client (se fosse server deve essere raggiungibile da remoto e quindi occorre che ci siano le porte per i protocolli scelti aperte). In genere non serve configurare nulla dal cliente....... lo colleghi alla rete e se c'è un DHCP server attivo lui si prende un indirizzo IP e appena ha il gateway attivo è il client che si collegherà al tuo "serrver".

Io in genere per questi scopi utilizzo il mAP di Mikrotik che è piccolo, versatile, economico e lo proteggo in modo che nemmeno con il reset fisico possa essere resettato; al massimo consento un reset che di fatto lo riposta ai parametri che ho inserito io inizialmente.

 

 

 

3) se invece la rete cablata non c'è (accade spesso) i mikrotik vedono solo chiave usb 3g/4g o anche tethering-usb da cellulare ad esempio? ed in questi casi come si fa con ip pubblico se variasse?

 

Possono vedere sia la rete WiFi sia i dongle USB per la connessione a reti 3G/4G. Entrambe le cose devono però essere configurate prima o comunque richiedono un minimo di configurazione sul posto.

 

 

 

2) lato ufficio (PC con tia portal, per capirci) di cosa ho bisogno? altro mikrotik ? considerate che non ho la possibilità di configurare porte del router nemmeno da questo lato

chiedo perchè ho letto questa frase in una guida:

 

Lato ufficio occorre che ci sia "qualcosa" che faccia da server. E questo "qualcosa" deve essere raggiungibile dai client........ per cui se nemmeno in ufficio puoi aprire porte hai due soluzioni:

1) Ti metti un Mikrotik in ufficio con la funzione si server VPN; però poi questo mikrotik lo rendi raggiungibile con un IP pubblico di una VPN verso un host pubblico (es. una macchina virtuale messa da qualche parte; in genere i costi sono di qualche euro al mese).

 

2) Metti tutto su una macchina virtuale e il tuo PC si collegherà a questa macchina con una VPN....... questa è la soluzione più comoda e offre più flessibilità.

 

 

 

3) leggendo alcuni primi esempi, ho visto che si richiede la generazione di certificati sia client che server, ma questi vanno messi dove? c'è qualcosa da configurare anche sul plc e quindi bisogna verificarne il supporto ?

 

Dipende se vuoi usare VPN certificate; considera che se usi i certificati aumenti si la sicirezza ma anche il lavoro del processore dei router; quindi occorre valutare bene i prodotti da utilizzare.

Se decidi per usare VPN certificate e i prodotti sono Mikrotik puoi serenamente generare i certificati dal server Mikortik e poi importarli sui vari client.

Sui PLC tecnicamente non c'è nulla da configurare se non l'indirizzo IP che deciderai. Poi tutto si gioca con le rotte ecc.

 

 

non esiste una guida passo-passo per neofiti?

 

No, non credo esista una guida passo passo per tutto questo. In quanto è un insieme di argomenti: VPN, Tunneling, rotte, firewall ecc ecc.

Ci sono però aziende che sono strutturate per gestire questo genere di richieste in svariati modi. Io stesso non per pubblicizzarmi ma svolgo anche queste soluzioni da molti anni.

 

Link al commento
Condividi su altri siti

Innanzitutto...grazie!

 

1) ok allora mi procuro il mAP come mi consigli, visto che è l'unico componente hardware che mi serve, in modo da da poter cominciare a provare

 

2) a questo punto credo che come configurazione, invece, si debba partire dal server e, quindi, lato ufficio ancora non mi è chiarissimo:

 

 

2 ore fa, Andrea Annoni scrisse:

Lato ufficio occorre che ci sia "qualcosa" che faccia da server. E questo "qualcosa" deve essere raggiungibile dai client........ per cui se nemmeno in ufficio puoi aprire porte hai due soluzioni:

1) Ti metti un Mikrotik in ufficio con la funzione si server VPN; però poi questo mikrotik lo rendi raggiungibile con un IP pubblico di una VPN verso un host pubblico (es. una macchina virtuale messa da qualche parte; in genere i costi sono di qualche euro al mese).

 

se mettessi un mikrotik da server mi serve l'IP pubblico della rete del mio ufficio? e cosi torniamo alla domanda "ma l'ip pubblico non cambia"? non mi devo appoggiare a siti tipo dyndns?

 

se potessi aprire porte in ufficio (mettiamo che faccia un test da casa) dovrei aprire la porta 1194 con l'indirizzo che il client usa 

2 ore fa, Andrea Annoni scrisse:

2) Metti tutto su una macchina virtuale e il tuo PC si collegherà a questa macchina con una VPN....... questa è la soluzione più comoda e offre più flessibilità.

       volendo seguire il tuo consiglio (come mi sembra di capire) di mettere tutto su una macchina virtuale: ma tutto  cosa? 😃 quali software?

e poi posso mettere questo "tutto" su una virtualbox sullo stesso pc che poi utilizzerei per collegarmi ai PLC? ...mi sto perdendo

 

Link al commento
Condividi su altri siti

Andrea Annoni

Prima di tutto devi decidere se vuoi tenerti tutto in hardware fisico oppure andare su macchine virtuali.

 

Nel caso in cui decida di avere un hardware fisico mi sento di consigliarti come lato ufficio almeno una RB3011 ...una 4011 sarebbe l'ideale.

In questo caso ti serve un indirizzo IP pubblico; meglio se fisso (di solito le connessioni business sono tutti con IP statico) ma se fosse dinamico puoi utilizzare il servizio DDNS di Mikrotik (basta mettere un flag). La porta da aprire dipende dalla VPN che usi......... le puoi anche abilitare tutte.....ma per esperienza ti consiglio vivamente la SSTP che usa la porta 443 (https) TCP. Questo perchè appunto è una porta che difficilmente le aziende chiudono o non concedono in uscita......mentre le altre VPN possono essere bloccate. La SSTP è sicuramente la meno rognosa. Volendo la puoi usare anche con i certificati.

 

 

Nel caso che tu voglia usare una macchina virtuale ti serve una VPS dove ci metterai il CHR (Cloud Hosted Router) di Mikrotik: In questo caso il fornitore del servizio ti da già in genere uno o più IP pubblici da usare. Il tuo PC poi lo metti in comunicazione con una VPN (in questo caso magari OpneVPN che è più "snella").

Oppure puoi virtualizzare anche il PC e accedere tutto in Remote Desktop.

 

 

Spero di averti chiarito i dubbi

 

 

 

Link al commento
Condividi su altri siti

Vorrei provare, almeno inizialmente, la strada più semplice ed economica (visto che per ora sono test che farei a mie spese, per "cultura personale").

Se poi dovesse essere andare a buon fine potrei sottoporla alla mia azienda ed, eventualmente, ai clienti...ma in quel caso ti ricontatterò per consigli più professional 😀

 

Se ho capito bene (ti ricordo che sono a zero sull'argomento, quindi anche vps, chr...😌) attualmente la soluzione più rapida ed indolore sarebbe tutto hardware...ma potrei farlo con due mAP? o meglio ancora mAP light? per sperimentare e riuscire ad entrare in questo "mondo"

 

sempre grazie per i consigli

Modificato: da zepego
Link al commento
Condividi su altri siti

Andrea Annoni

Si puoi usare anche un mAP-Lite lato "cliente".

Per l'ufficio (server) devi mettere un'altro apparato Mikrotik.

Link al commento
Condividi su altri siti

1 ora fa, Andrea Annoni scrisse:

Si puoi usare anche un mAP-Lite lato "cliente".

Per l'ufficio (server) devi mettere un'altro apparato Mikrotik.

si dicevo: posso usare un mAP come client ed un mAP come server?

Link al commento
Condividi su altri siti

15 ore fa, Andrea Annoni scrisse:

Per giocare si.......usare un mAP in produzione come server è un po' una follia

mmm...ok.

OpenVPN per windows su un pc per fare da server e mAP lato client potrebbe andare meglio? 

Link al commento
Condividi su altri siti

Scusatemi se mi intrometto ma scusa zepego, la discussione è molto interessante e @Andrea Annoni ha già proposto varie alternative VPN, non so che esisgenza tu abbia @zepego di fare teleassistenza remota, non so se hai esigenze particolari con i clienti, quantità di dati o altro ma per fare teleassistenza remota ormai esistono già varie piattaforme sul mercato che permettono di fare teleassistenza VPN in molteplici maniere e in alcuni casi in maniera del tutto gratuita entro certi limiti, poi se uno vuole maggiori prestazioni ovviamente si paga, ma come tutti i servizi al gratuito c'è comunque un limite, dipende di cosa hai bisogno. In questi casi si tratta sempre di VPN proprietarie che fanno riferimento a un server centrale i vari dispositivi client della rete VPN fanno riferimento al proprio server, tu che devi fare teleassistenza ti colleghi al server con le tue credenziali e ti viene fornita la connessione diretta al dispositivo client installato sulla rete macchina del tuo cliente. Ti faccio alcuni esempi esistono prodotti che danno teleassistenza da router industriali preconfigurati per la rete VPN che ti fornisce il servizio oppure esistono pure prodotti che sono installati su dispositivi HMI e che ti permettono di collegare in VPN tutti i dispositivi ad esso collegati tipo un PLC. Non per fare troppa pubblicità ma bisogna che citi alcuni prodotti ci sono router tipo e-Won, oppure Sevio, oppure Asem mentre per i prodotti HMI c'è Weintek, la stessa Asem tanto per citarne alcuni o quelli che conosco o che mi vengono adesso a mente . C'è ovviamente differenza fra i vari prodotti su costi e servizi garantiti, il router industriale magari fornisce magari maggior connessione ma magari ha costi maggiori, la teleassitenza invece su HMI garantisce costi minori e la possibilità di instalare su un prodotto unico il servizio HMI e la teleassistenza. Ho fatto questa descrizione per farti capire che per fare teleassitenza esistono varie metodologie non per sminuire quello che ti ha già descritto @Andrea Annoni ma capisci bene che un servizio offerto da esterni non ti obbliga a mantenere un hardware che dovresti mantenere tu in servizio tu 24h su 24h, questi prodotti che ti ho descritto sono ormai in servizio da una decina di anni, questo può essere una garanzia ma può essere anche una palla al piede perchè questi fornitori di servizi ormai cominciano a essere un po' congestionati ma è anche vero che ormai le strutture le hanno collaudate da diversi anni con i suoi pro e contro. Si è vero una teleassistenza fornita con un tuo indirizzo IP statico o non ha i suoi vantaggi ma ha anche i suoi costi, bisogna vedere cosa sono le tue esigenze, il mio post era per farti capire cosa il mercato offre oggi, devi essere tu a valutare quale strada intraprendere

Link al commento
Condividi su altri siti

Andrea Annoni

Primo io non lavorerei in OpenVPN ma in SSTP come ti ho già spiegato.

 

Lavorare su un server VPN Windows lascia il tempo che trova; funziona si certo....ma poi come imposti le rotte? Come fai a raggiungere il PLC dietro al client??

 

 

Se lo scopo è fare esperienza allora piuttosto si usa i due mAP consapevole che le risorse saranno quello che sono; soprattutto se il mAP server farà routing e NAT

Link al commento
Condividi su altri siti

Andrea Annoni
3 minuti fa, leleviola scrisse:

Scusatemi se mi intrometto ma scusa zepego, la discussione è molto interessante e @Andrea Annoni ha già proposto varie alternative VPN, non so che esisgenza tu abbia @zepego di fare teleassistenza remota, non so se hai esigenze particolari con i clienti, quantità di dati o altro ma per fare teleassistenza remota ormai esistono già varie piattaforme sul mercato che permettono di fare teleassistenza VPN in molteplici maniere e in alcuni casi in maniera del tutto gratuita entro certi limiti, poi se uno vuole maggiori prestazioni ovviamente si paga, ma come tutti i servizi al gratuito c'è comunque un limite, dipende di cosa hai bisogno. In questi casi si tratta sempre di VPN proprietarie che fanno riferimento a un server centrale i vari dispositivi client della rete VPN fanno riferimento al proprio server, tu che devi fare teleassistenza ti colleghi al server con le tue credenziali e ti viene fornita la connessione diretta al dispositivo client installato sulla rete macchina del tuo cliente. Ti faccio alcuni esempi esistono prodotti che danno teleassistenza da router industriali preconfigurati per la rete VPN che ti fornisce il servizio oppure esistono pure prodotti che sono installati su dispositivi HMI e che ti permettono di collegare in VPN tutti i dispositivi ad esso collegati tipo un PLC. Non per fare troppa pubblicità ma bisogna che citi alcuni prodotti ci sono router tipo e-Won, oppure Sevio, oppure Asem mentre per i prodotti HMI c'è Weintek, la stessa Asem tanto per citarne alcuni o quelli che conosco o che mi vengono adesso a mente . C'è ovviamente differenza fra i vari prodotti su costi e servizi garantiti, il router industriale magari fornisce magari maggior connessione ma magari ha costi maggiori, la teleassitenza invece su HMI garantisce costi minori e la possibilità di instalare su un prodotto unico il servizio HMI e la teleassistenza. Ho fatto questa descrizione per farti capire che per fare teleassitenza esistono varie metodologie non per sminuire quello che ti ha già descritto @Andrea Annoni ma capisci bene che un servizio offerto da esterni non ti obbliga a mantenere un hardware che dovresti mantenere tu in servizio tu 24h su 24h, questi prodotti che ti ho descritto sono ormai in servizio da una decina di anni, questo può essere una garanzia ma può essere anche una palla al piede perchè questi fornitori di servizi ormai cominciano a essere un po' congestionati ma è anche vero che ormai le strutture le hanno collaudate da diversi anni con i suoi pro e contro. Si è vero una teleassistenza fornita con un tuo indirizzo IP statico o non ha i suoi vantaggi ma ha anche i suoi costi, bisogna vedere cosa sono le tue esigenze, il mio post era per farti capire cosa il mercato offre oggi, devi essere tu a valutare quale strada intraprendere

Di sicuro e-WON utilizza Mikrotik proprio nel modo in cui ho descritto io. Lo dico con certezza perchè ci collaboro......... e non entro nel dettaglio.

Ora c'è il boom di questi servizi dove appunto qualcuno pensa di aver scoperto l'acqua calda; basta un po' di conoscenza di networking e quello offerto dalle piattafome menzionate lo si può fare  serenamente e anche meglio......ad esempio inviando notifiche mail/telegram in caso di down di un PLC, di un device; utilizzare connessione WAN e in Backup automatico il 3G/4G.

 

Occorre però avere le idee chiare su quello che si vuole.

 

 

PS: Le VPN commerciali non fanno nulla di quanto descritto.

Link al commento
Condividi su altri siti

ok grazie mille ad entrambi.

 

come dicevo vorrei andare per step per capirne di più (perciò vorrei evitare le soluzioni già "pronte" in cui si collega tutto  e via e poi se ci sono problemi o richieste specifiche non saprei dove mettere mano).

Comincerei comunque da configurazioni semplici...mi basterebbe instaurare il collegamento e poter fare quello che vorrei, le performance sarebbero lo step successivo.

Quindi OK, penso di seguire il consiglio dei due mAP, per i primi test.

 

Solo una ulteriore domanda, se posso permettermi, la cui risposta non mi è chiara vista la mia ignoranza in materia:

39 minuti fa, Andrea Annoni scrisse:

Lavorare su un server VPN Windows lascia il tempo che trova; funziona si certo....ma poi come imposti le rotte? Come fai a raggiungere il PLC dietro al client??

 

perchè? ipotizzando di essere riusciti a connette il client mAP in campo con l'eventuale server su Windows non diventa visibile tutta la sottorete?

grazie

Link al commento
Condividi su altri siti

5 ore fa, Andrea Annoni scrisse:

......ad esempio inviando notifiche mail/telegram in caso di down di un PLC, di un device;

beh le notifiche si fanno anche con un semplice Weintek e si ha le notifiche direttamente sulla App del telefono oppure su Wechat, insomma dipende da cosa si vuole fare

Link al commento
Condividi su altri siti

Crea un account o accedi per commentare

Devi essere un utente per poter lasciare un commento

Crea un account

Registrati per un nuovo account nella nostra comunità. è facile!

Registra un nuovo account

Accedi

Hai già un account? Accedi qui.

Accedi ora
×
×
  • Crea nuovo/a...