Az igény

Számos esetben szükség lehet arra, hogy egy letelepített PLC távolról elérhető legyen. Talán szabályzási jellemzőket kell módosítani, talán egy apróbb programmódosítást kell letölteni, vagy csupán egy otthoni vezérlő automatika webes felületét szeretné elérni a felhasználó. A távoli elérés megvalósításához többnyire ugyan az a néhány dolog kell: ismert publikus IP cím, az alkalmazások által használt TCP vagy UDP portok, megfelelő szintű védelem a kibertámadások ellen.

A WAGO Hungária Kft. támogató mérnök csapata azon dolgozik, hogy segítse partnereit például a hasonló helyzetek megoldásában is. Ennek jegyében készítettünk egy kiegészítő csomagot, amivel

a PLC képes OpenVPN szerverként működni és néhány kliens kapcsolatát kezelni.

A szoftver célja, hogy a lehető legkevesebb beállítás elvégzése mellett magas fokú biztonságot érjünk el a lehető legalacsonyabb költség befektetésével.

A install-easy-ovpn-remote-access_x.x.x_armhf.ipk letöltéséhez kérem vegye fel velünk a kapcsolatot a support.hu@wago.com címen!

Előnyök és hátrányok

A leglényegesebb különbség az eddigiekhez képest, hogy amíg korábban esetleg SSH, FTPS, HTTPS vagy más egyéb portokat lettek elérhetővé téve a publikus internet számára, ezzel a csomaggal csupán az OpenVPN kapcsolat számára szükséges UDP port továbbítás szükséges. Ezen felül korábban alapértelmezett beállítások mellett sok szolgáltatás az admin//jelszó vagy root//jelszó bejelentkezési adatokkal vált elérhetővé, így az eszköz biztonsága mindössze egy-két jelszó bonyolultságán, és esetleg az eszközök beépített tűzfalának beállításain múlt. Ezzel szemben OpenVPN kapcsolat esetén SSL/TLS tanúsítványok segítségével történik a kapcsolat katonai szintű titkosítása. Nagy különbség még, hogy egy VPN hálózat minden rajta átmenő kommunikációt titkosít, tehát még egy Modbus TCP kapcsolat sem visszafejthető külső hallgató számára. A hátránya ennek a megoldásnak, hogy a legtöbb felhasználó számára bonyolult átlátni az egész rendszert, főleg a konfigurációhoz szükséges fájlokat és tanúsítványokat. Ezt a hátrányt szerettük volna könnyen áthidalhatóvá tenni.

Használat

 Első lépés – előkészületek

• Mindenképp szükség van vagy egy fix IP címre vagy domain-re
  • Fix IP címet az internetszolgáltatótól lehet igényelni. A legtöbb szolgáltató ezt az opciót csupán üzleti partnereiknek tartja fent, és többnyire havidíjas elszámolású.
  • Dinamikus domain több cégtől is beszerezhető. Vannak olyan szolgáltatások, amik adott feltételek mellett ingyenesek, vannak olyanok, amik havidíjas előfizetéssel elérhetők. Számos ilyen szolgáltató létezik, íme néhány példa:
    • https://www.noip.com/
    • https://account.dyn.com/
    • https://www.dynu.com/
• Az OpenVPN szerver port továbbítása
  • Leggyakrabban a PLC- k egy router-en keresztül csatlakoznak az internetre, így szükséges, hogy a router a beérkező OpenVPN kéréseket a megfelelő helyre továbbítsa.

Egy példa a helyes beállításról egy TP-Link router használatával abban az esetben, ha a PLC saját LAN IP címe 192.168.1.17 és a dedikált UDP:1194 port van felhasználva a feladatra:

 

 Második lépés – install-easy-ovpn-remote-access_x.x.x_armhf.ipk csomag telepítése

1. A PLC https://<IP_cím>/wbm/#/configuration/software-uploads oldalának megnyitása
2. A szoftver tallózása
3. Install gomb megnyomása
4. Sikeres telepítés után a PLC újraindítása vagy a jobb felső sarokban található Reboot gomb megnyomásával, vagy tápelvétellel

 Harmadik lépés – a feltelepült szoftver futtatása

• Az újraindítás után elérhetővé vált https://<IP_cím>/openvpn/ oldal megnyitása
• Paraméterek, tehát a publikus fix IP vagy domain cím és az UDP port megadása

• A WBM felületen is használt „admin” felhasználó jelszavának megadása után a „Renew configuration file” gomb megnyomása
• Nagyjából fél perc múlva a PLC elkészíti a VPN kapcsolathoz szükséges tanúsítványokat és konfigurációs fájlt, majd a böngésző letölti azt. Ezek után a PLC- ből többé nem kinyerhető ez az „ovpn” kiterjesztésű fájl, és érvényét veszíti a legközelebbi új konfigurációs fájl generálás során. Fontos, hogy ez a fájl nem kerülhet nyilvánosságra, hiszen a kapcsolathoz szükséges bizalmas adatokat tartalmazza!

 Negyedik lépés – kapcsolódás

  1. OpenVPN Connect telepítése

• Ez a lépés kissé eltérő különböző platformok között. A cikk írásának pillanatában ingyenesen elérhető az OpenVPN Connect v3 nevű szoftver ami szükséges a továbblépéshez. Mobiltelefonok esetén az adott áruházból (Google Play Store, Apple App Store…), számítógépek esetén pedig az OpenVPN weboldaláról tölthető le, Windows operációs rendszerek esetén pedig pontosan innen: https://openvpn.net/client/client-connect-vpn-for-windows/ .

  2. Konfigurációs fájl felvétele

• A fájl megnyitása vagy importálása is lehetséges

  3.Csatlakozás

• Ha minden sikerült, akkor az eszköznek csatlakoznia kell 1-2 másodperc alatt a PLC-hez, amit ezek után a 4.3.2.1 IP címen lehet elérni.

Eltávolítás

A csomag eltávolítása SSH terminálon keresztül lehetséges az alábbi parancs futtatásával:

opkg remove install-easy-ovpn-remote-access

Egyéb tippek

Most, hogy rendelkezésre áll a titkosított elérés nyugodtabb szívvel csatlakozhatunk a PLC- hez normál titkosítatlan HTTP vagy Modbus TCP protokollokon keresztül, vagy távolíthatjuk el a webvisu megnyitásához szükséges kötelező bejelentkezési felületet. Normál távoli elérés esetén ezek az igények nem lettek volna teljesíthetők a magas biztonsági kockázat miatt. 

Fontos tudni még azt is, hogy ez a csomag egy előre meghatározott VPN konfigurációt épít fel. Hagyományos módon megírt szerver és kliens konfigurációk esetén még további lehetőségek nyílnak meg, mint például az, hogy a PLC-k egymás között is titkosított formában kommunikáljanak. Több információt erről ebben a cikkünkben olvashat: https://controlblog.hu/titkositott-kapcsolat-vpn-plc-k-kozott/

• Tags
• beállítások
• biztonság
• csatorna
• edge
• elérés
• ethernet
• hálózat
• hozzáférés
• IP cím
• kommunikáció
• konfiguráció
• kulcs
• linux
• megosztás
• open
• port
• privát
• publikus
• ssl
• tanúsítvány
• távoli
• titkosított
• tls
• VPN