Доброго времени суток.
Есть небольшая задача по удаленному подключению к оборудованию. Есть обородувание на которое установлен HerOS (промышленный компьютер), в который залезть нету возможности. Есть программа на PC - PLCDesign которая позволяет управлять нужными параметрами этой системы. Подключение производится по ethernet. Если находишься рядом, собственно никаких проблемм нету, настраиваешь IP адреса в одной подсети и все работает.
Есть необходимость подключится удаленно. Для этого думаю купить Роутер со службой DynDNS и подключить в него 3G модем. И получится что система эта будет сидеть под NATом и подключиться так просто не получится. Как организовать это подключение? Наверняка нужно прописать в роутере статические маршруты. Но какие и как? Помогите чем смогите. Устанавливать системник и подключаться к нему не вариант.
Изображения
  [Ответ]

Сообщение от tyz_ep061:
Доброго времени суток.
Есть небольшая задача по удаленному подключению к оборудованию. Есть обородувание на которое установлен HerOS (промышленный компьютер), в который залезть нету возможности. Есть программа на PC - PLCDesign которая позволяет управлять нужными параметрами этой системы. Подключение производится по ethernet. Если находишься рядом, собственно никаких проблемм нету, настраиваешь IP адреса в одной подсети и все работает.
Есть необходимость подключится удаленно. Для этого думаю купить Роутер со службой DynDNS и подключить в него 3G модем. И получится что система эта будет сидеть под NATом и подключиться так просто не получится. Как организовать это подключение? Наверняка нужно прописать в роутере статические маршруты. Но какие и как? Помогите чем смогите. Устанавливать системник и подключаться к нему не вариант.

Привет, действительно система окажется за NAT. маршруты прописывать не придется, в самом простом случае необходимо сдлеать проброс портов в роутере. но это не безопасно

Еще как самый быстрый вариант - добавить IP компьютера в DMZ на роутере - он роутер сразу все порты

На мой взгляд нужно мутить vpn до дома. если интересно, можем здесь подумать как это организовать

Еще вероятно придется докупить услугу статическиго IP адреса. и не все операторы оказывают эту услугу


PS посидел подумал, видится мне что наиборее правильным решением будет все же не удаленное использование этого приложения, а удаленный доступк к компу с этим приложением. VNC, RDP или банально teamwiever [Ответ]

В том то и дело. Что это станок, он к сети не подключен. Установить системник нет возможности. Ip адрес из под XerOSа могу задать любой, собственно как и маску. И вроде даже есть настройка шлюза (тут смогу поглядеть в понедельник, когда к заказчику приеду). Просто не хочется ездить по каждой мелочи и устранять (700 км от дома всё-таки). Про серые ip у провайдеров знаю. Вроде раньше пробовал, года 1,5 назад, проблем с dyndns небыло, но я проверял 5 минут, про стабильность хз. [Ответ]

Подумал тут, могу дома запустить vpn сервер. Но как к нему подключиться, пока не придумал. При наличии на данном этапе только 3ж модема. Роут пока не покупал. Может ddwrt это умеет делать? [Ответ]

Сообщение от tyz_ep061:
В том то и дело. Что это станок, он к сети не подключен. Установить системник нет возможности. Ip адрес из под XerOSа могу задать любой, собственно как и маску. И вроде даже есть настройка шлюза (тут смогу поглядеть в понедельник, когда к заказчику приеду). Просто не хочется ездить по каждой мелочи и устранять (700 км от дома всё-таки). Про серые ip у провайдеров знаю. Вроде раньше пробовал, года 1,5 назад, проблем с dyndns небыло, но я проверял 5 минут, про стабильность хз.

ddwrt много что умеет, но нужен как минимум 1 белый IP как связующее звено, либо искать мобильного провайдера с такой услугой, либо домашнего.

Сколько готовы потратить на решение этого вопроса ?

Есть еще варианты, например, купить дешевый VPS(VDS) в интернете. это выделенный (зачастую виртуальный) сервер со статическим белым IP в интернете, стоит это порядка 300р в месяц. на этот сервер установить линукс/роутер ос/да хоть винду в режиме pptp сервера и цепляться туда роутером с работы и компом из дома, что бы все устройства оказались в одной сетке.
примерно так
[станок] <->[роутер с 3Г]<->[сервер в интернете]<->[домашний комп]

у мтс нашел услугу http://www.voronezh.mts.ru/mobil_ine...vices/real_ip/ [Ответ]

Связующее звено можно сделать домашний роут. Белый ip есть, возможность запуска vpn есть. Провайдер фридом, роут asus rt-ac66. У него возможностей пруд пруди. [Ответ]

Как бэ чем дешевле, тем лучше. Так как придётся перед начальством объясняться куда и зачем потратил столько денег. [Ответ]

tyz_ep061, купить роутер, но нужно выбрать хороший, который работает без проблем с openwrt и имело бы usb порт для подключения модема. http://wiki.openwrt.org/ru/toh/start Далее поднимаете vpn, самый простой способ http://vtun.sourceforge.net/. На домашнем роутере должна быть нормальная прошивка (чтобы этот vtun можно было установить), на роутере с usb модемом тоже. Дальше роутер с модемом звонит на домашний роутер со статическим ip и между ними устанавливается виртуальная сеть. За стабильность говорить сложно, насколько стабилен 3g интернет? Но с другими типами связи этот туннель работает удовлетворительно. (достаточно стабильно). Могу помочь с настройкой.

На стороне 3g я бы посоветовал что-то типа http://wiki.openwrt.org/ru/toh/tp-link/tl-wr703n Дешево и сердито.

http://www.ulmart.ru/goods/298806?se...=&seoKeywords= Почти тоже самое что и wr703n.

Конечно это все работает автоматически. В vtun заложены некоторые инструменты "перезвона" при обрыве соединения между клиентами. Очень прост в настройке. Приложение одновременно может быть и клиентом и сервером. (смотря как настроите). Для этой схемы нужно иметь статический ip на стороне домашнего роутера, иметь l2tp или pptp подключение. (у freedom) Но возможен и иной вариант, когда вы подключены по ipoe на стороне домашнего роутера. Вы можете зарегистрировать здесь бесплатный vps http://www.host1free.com/ Это будет полноценный компьютер с linux и статическим ip адресом. И у вас получится просто более сложна я схема, когда роутер с 3g будет звонить vpn'ом на этот vps , а домашний роутер тоже на этот vps Он получится как узел связи между двумя роутерами за nat

p/s аккуратно подойти в выборе модема 3g, их щя куча всяких, многие работают плохо в linux и вообще плохо.

p/s возможно потребуются некоторые настройки fw на домашнем роутере, они обычно запрещают подключения извне к самому роутеру по умолчанию, но разрешают исходящие соединения и уже установленные. Обычная умолчальная политика. Для клиентов за роутером (обычных PC) все будет прозрачно.


Как я себе это представляю. подключаете к 703n модем и устанавливаете связь по 3g, интернет у вас есть. Можно попинговать ya.ru через web морду openwrt (ее тоже нужно установить, умолчально она не устанавливается вроде). После этого eth порту 703n можно назначить адрес из подсети с этим станком херOS. Станок начнет видеть роутер. Потом установить на оба роутера vtun и установить vpn между роутерами. Клиентом vpn будет выступать роутер с модемом, он не имеет ip, но может постучать на белый ip вашего роутера на порт 5000? (fw должен быть настроен постучать на порт 5000, к примеру, задать можно любой) После этого между роутерами установится туннель настроенный по правилам которые вы зададите прежде. Появится виртуальные интерфейсы tun\tap со своими адресами. Один на стороне роутер 1, а другой на стороне роутера 2 через которые они будут доступны. Это и есть vpn, тут можно включить шифрование и т.д. Общаться после этого нужно только с этими виртуальными интерфейсами. Потом возможно придется настроить таблицу маршрутизации и fw на роутерах, чтобы был доступ из локальной сети (вы же тоже за nat по отношению к интернет подключению, у вас же роутеры) , где этот xерOS, до сети vpn и с вашего домашнего пк до херOS. Никаких неразрешимых вопросов я не вижу.

Схема такая: Станок с XерOS ip 192.168.1.1 <-> 703n на eth 192.168.1.2 <---> tun0 192.168.2.1 (интернет <---> интернет) tun1 192.168.2.2 <-> домашний роутер <---> 192.168.3.1 --- домашние PC 192.168.3.0/24. Вот нужно будет настроить (возможно) таблицу маршрутизации, а скорей всего политику fw, чтобы она делала nat c адресов 3.0/24 до нового виртуального интерфейса tun1, на стороне домашнего роутера. Аналогично на стороне роутера с модемом. После этого вы сможете пинговать сеть 1.0/24 из сети 3.0/24. То-есть, из дома с домашнего PC. Все зависит от того какие правила fw роутера заряжает по умолчанию. Их надо увидеть. Но первым звоночком будет возможно попинговать обратную сторону (с роутера) через tun. То-есть, туннель уже работает. Остается сделать доступным этот туннель для компьютеров за роутером. [Ответ]

Чтобы было понятно о чем речь, правила могут быть организованы по разному. У меня к примеру так:

P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N BRUTE
-N MACS
-N SECURITY
-N UPNP
-N logaccept
-N logdrop
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i tap0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -i br0 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p igmp -j ACCEPT
-A INPUT -d 224.0.0.0/4 -p udp -m udp ! --dport 1900 -j ACCEPT
-A INPUT -i ppp0 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -i vlan2 -m conntrack --ctstate NEW -j SECURITY
-A INPUT -p tcp -m tcp --dport 444 --tcp-flags FIN,SYN,RST,ACK SYN -j BRUTE
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i tap0 -o ppp0 -j ACCEPT
-A FORWARD -i tap0 -o vlan1 -j ACCEPT
-A FORWARD ! -i br0 -o ppp0 -j DROP
-A FORWARD ! -i br0 -o vlan2 -j DROP
-A FORWARD ! -i br0 -m conntrack --ctstate NEW -j SECURITY
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
-A FORWARD -o br0 -j DROP
-A BRUTE -m recent --update --seconds 600 --hitcount 3 --name BRUTE --rsource -j DROP
-A BRUTE -m recent --set --name BRUTE --rsource -j ACCEPT
-A SECURITY -s 10.0.xx.xx/32 -d 10.0.xx.xx/32 -p tcp -m tcp --dport 5000 -j ACCEPT
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j RETURN
-A SECURITY -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j RETURN
-A SECURITY -p udp -m limit --limit 5/sec -j RETURN
-A SECURITY -p icmp -m limit --limit 5/sec -j RETURN
-A SECURITY -j DROP
-A logaccept -m conntrack --ctstate NEW -j LOG --log-prefix "ACCEPT " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logaccept -j ACCEPT
-A logdrop -m conntrack --ctstate NEW -j LOG --log-prefix "DROP " --log-tcp-sequence --log-tcp-options --log-ip-options --log-macdecode
-A logdrop -j DROP

Есть хитрая таблица SECURITY куда попадает многое не для br0, нужно разрулить чтобы туннель стал доступен для таблицы FORWARD. И кое-что в INPUT, иначе работать не будет исходя из умолчальных правил. Это на стороне сервера. Хотя может тут не совсем все правильно, я давно делал, заработало и забил, чейчас вот вижу, кажется логика нарушена и надо чуть-чуть изменить порядок правил [Ответ]

Ох, как много букав) начал читать, чем дальше, тем меньше стал понимать. Я все же так глубоко в сети не лазил. Попробуем что то попробовать. Когда понимал vpn у себя, у меня как раз была проблема, что внутренняя сеть не пинговалась из сети vpn. Но так как я добился своего (играть в игрушки на работе) я на это и забил. [Ответ]

Из почти любой домашней коробки можно сделать wrt и возможностей хоть отбавляй. В общем все что я понял. Мне будет проще через vpn все это сделать. Спасибо за ответы. Будем пробовать. Все оказалась сложнее чем казалось. [Ответ]

Вдруг ещё актуально - есть такие роутеры MikroTik. Для указанной задачи в них есть l2tp-сервер (это одна из реализаций впн), usb-порт и умение работать с 3g-модемами. В последних версиях системы появился ещё бесплатный аналог DynDNS. Если что - могу помочь с настройкой. И есть б/у.
зы И без всяких танцев с *WRT. [Ответ]

для роутеров есть еще NeoRouter:
NeoRouter работает следующим образом:
Серверная часть (NeoRouter server) устанавливается на рабочую станцию (например прокси, через который остальные компьютеры подключаются к интернету) или же на маршрутизатор (!!!) (но только при условии, что на нём установлена построенная на Linux прошивка (Tomato, OpenWRT kamikaze/whiterussian, DD-WRT)), при этом создаётся новый домен, на остальные рабочие станции устанавливается клиентская часть (NeoRouter Network Explorer). При этом на сервере можно устанавливть, через UDP или TCP будет устанавливаться подключение, порт и многое другое. На сервере хранятся профили для каждого из пользователей, со своими правами доступа ит.п.
Для Windows есть и клиент и сервер. [Ответ]

Сообщение от s1z3r:
Вдруг ещё актуально - есть такие роутеры MikroTik. Для указанной задачи в них есть l2tp-сервер (это одна из реализаций впн), usb-порт и умение работать с 3g-модемами. В последних версиях системы появился ещё бесплатный аналог DynDNS. Если что - могу помочь с настройкой. И есть б/у.
зы И без всяких танцев с *WRT.

Про Mikrotik знаю. Юзаю больше 2 лет. Один раз настроил и забыл, и vpn и баланс каналов и прочее, помоему у него возможности безграничны, не разобрался только с приоритетами по трафику, задолбали качальщики (у меня wifi сетка есть с радиусом 2 км).

Сообщение от fflexx:
для роутеров есть еще NeoRouter:

Обязательно почитаю. Штука интересная.

Но зашел сюда, чтобы написать что проблему я эту решил. Все оказалось куда проще чем казалось.
Взял поюзать у шефа из дома роутер Zuxel с USB. Втыкнул в него модем (3G МТС), подключил безлимитный интернет и RealIP. (в сумме 350 рублей в месяц), с помощью снифера узнал порт на котором работает HerOS (оказался 19000), настроил DDNS пробросил порт, и все заработало. Моих начальников этот вариант устроил и по финансам и по качеству (оказалось достаточно скорости).

Всем огромное спасибо. [Ответ]