Zdalny dostęp do urządzeń i maszyn za pomocą technologii VPN
| TechnikaSieci przemysłowe sprzed lat były zamkniętymi wyspami, często bez dostępu nawet do sieci korporacyjnej IT. Jednak z czasem się to zmieniło, i teraz nawet pojedyncze maszyny na obiekcie są dostępne w ramach struktury przedsiębiorstwa. Obecnie do tego celu stosuje się technologię VPN, którą postaram się przybliżyć nieco w wielkim skrócie, w odniesieniu do zastosowań przemysłowych.
VPN - co to właściwie jest?
To ogólna nazwa technologii, służącej do tworzenia bezpiecznych prywatnych połączeń (tunelów) pomiędzy 2 sieciami prywatnymi przez sieć WAN. Obecnie tunele VPN często są też wykorzystywane jako sposób na bezpieczny dostęp do zasobów Internetu lub do omijania blokad regionalnych.
Sieć prywatna to sieć, która ma pulę adresową prywatną, czyli taką, do której nie ma dostępu z sieci publicznej, czyli przykładowo sieć domowa lub firmowa, i właśnie to ograniczenie generuje potrzebę tworzenia połączeń VPN, aby umożliwić dostęp do takich "schowanych" urządzeń.
Protoplastą VPN-u był protokół PPTP, opracowany przez firmę Microsoft w 1996 roku. Umożliwiał bezpieczniejsze połączenie typu punkt-punkt, pomiędzy sieciami, niż było to realizowane do tej pory. Technologia VPN była na początku używana niemal wyłącznie przez biznes do łączenia oddziałów firmy w jedną sieć prywatną bądź do łączenia się pracowników zdalnych do zasobów firmowych.
VPN - zasada działania na przykładzie OpenVPN
VPN to koncept, który można zrealizować na różne sposoby. Obecnie najpopularniejsze technologie do tworzenia połączeń VPN to L2TP, OpenVPN, IPSec, Hamachi, SSTP i inne. Każda z tych technologii to tak naprawdę zbiór protokołów, realizujących różne funkcje, np. szyfrujące SSL/TLS, transportowe - TCP/UDP.
OpenVPN to pakiet otartego oprogramowania do tworzenia wirtualnych sieci prywatnych, który domyślnie powstał dla platform Uniksowych, ale z czasem trafił też na systemy z rodziny Windows. Jest też dostępna płatna wersja, ułatwiająca konfigurację oraz uruchomienie serwera OpenVPN w chmurze. Uwierzytelnianie w OpenVPN odbywa się za pomocą kluczy, certyfikatów lub nazwy użytkownika i hasła.
Możliwe są 2 główne tryby pracy takiego tunelu VPN: tryb Routera oraz tryb Mostu (Bridge). W trybie Routera adresacja IP po obu stronach tunelu musi być inna, aby nie było duplikatów adresów IP w całej sieci prywatnej. Zaletą takiego rozwiązania jest to, że można łatwiej panować i zarządzać przydzielanymi adresami IP w ramach obu segmentów, a wadą że przez taki tunel nie zostanie przepuszczona komunikacja w warstwie 2 czyli np. ramki rozgłoszeniowe (broadcast) lub multicast.
W trybie mostka problem ten nie występuje, ponieważ sieci są "zmostkowane", czyli mają tę samą adresację, co pozwala na pełną komunikację, taką jak w prawdziwej fizycznej sieci prywatnej. W obu tych trybach zawsze występuję klient i serwer. Rolą serwera jest pasywne oczekiwanie na zdefiniowanym porcie TCP lub UDP (domyślnie 1194) na połączenie klienta VPN.
Z tego powodu serwer musi być dostępny publicznie, czyli musi mieć stały publiczny adres IP, czyli być widoczny dla klienta VPN, w przeciwieństwie do niego. Klient może mieć każdy adres IP, ważne jest, aby "widział" serwer VPN. Ponadto w konfiguracji w trybie Routera tworzona jest wirtualna podsieć pomiędzy fizycznymi sieciami prywatnymi, pierwszy adres w tej sieci jest przyznawany routerowi, a następne klientom.
Oto najważniejsze cechy i parametry OpenVPN, pozostałe parametry mogą się nieco różnić w zależności od konkretnej implementacji. Takie połączenie VPN można tworzyć zarówno pomiędzy odpowiednio skonfigurowanymi komputerami, używając otwartego OpenVPN, jak i pomiędzy routerami i innymi urządzeniami z zaimplementowaną już taką funkcją.
Zdalny dostęp w przemyśle?
W różnych gałęziach przemysłu często zachodzi potrzeba zdalnego połączenia z oddziałem przedsiębiorstwa, obiektem zdalnym czy pojedynczą maszyną itp.. Jednak nie zawsze na danym obiekcie jest dostęp do Internetu, co utrudnia zdalny dostęp. Zdarza się też, że obiekt, na którym jest sieć czy maszyna, do której trzeba się podłączyć, ma dostęp do sieci WAN, ale administratorzy sieci uniemożliwiają, aby integrator czy inna firma montująca urządzenia mogli mieć dostęp zdalny do montowanych urządzeń, ze względu na politykę bezpieczeństwa danej firmy.
Kiedy potrzebny jest zdalny dostęp do obiektu? Np. gdy zachodzi potrzeba zdalnego monitorowania stanu klimatyzatorów, chęć dostępu do sterownika PLC, tzn. przeprogramowywanie / monitorowanie zmiennych, dostęp do SCADA itp. W aplikacjach OZE często zachodzi taka potrzeba, ponieważ niemal zawsze turbiny czy farmy fotowoltaiczne są umiejscowione w zdalnych lokalizacjach, w terenie bez dostępu do przewodowego Internetu.
Takich przykładów jest wiele, a ich różnorodność bardzo duża, ale na podstawie wspólnych mianowników łatwo zauważyć, że to, co łączy przytoczone przykłady do chęć zdalnego, najlepiej bezpiecznego dostępu do zdalnych obiektów, korzystając z sieci komórkowej. Czyli potrzebne jest rozwiązanie łączące technologię dostępu do sieci komórkowej oraz technologię wirtualnych sieci prywatnych, czyli router lub brama przemysłowa z obsługą VPN. Takie urządzenia są dostępne np. w ofercie firmy Moxa.
OnCell G3150A-LTE - przemysłowa brama z LTE
Ta brama dostępowa została opracowana z myślą o przytoczonych przykładowych aplikacjach. Może pełnić funkcję routera dostępowego do Internetu, a także być łącznikiem pomiędzy zdalną siecią OT a lokalną z użyciem OpenVPN lub IPSec. Urządzenie pracuje w technologii LTE lub niższej aktualnie dostępnej w miejscu pracy.
OnCell G3150A-LTE ma 1 port RS-232, do którego można łączyć się zdalnie lub w ramach VPNu. Ponadto ma Ethernet 10/100 Mbps, 2 sloty na karty SIM zwiększające redundancje, 2 wejścia zasilające (12-48 VDC), wyjście alarmowe oraz 2 wejścia cyfrowe do inicjowania zdefiniowanych akcji. Urządzenie jest zaprojektowane do pracy w warunkach przemysłowych, dlatego jego niezawodność jest wysoka. Model w wersji "T" pracuje w temp. otoczenia od -30 do 70°C.
O firmie Moxa
Firma Moxa to producent szerokiej gamy urządzeń do komunikacji przemysłowej. Od ponad 25 lat zdobywa doświadczenie i wygrywa w największych projektach, w różnorodnych branżach. Przemysłowy Ethernet, komunikacja szeregowa, komputery przemysłowe oraz rozwiązania IoT to najmocniejsze strony Moxy.
Piotr Gocłowski
Elmark Automatyka
www.elmark.com.pl