Jak skonfigurować router przemysłowy 4G LTE: server OpenVPN, zdalny dostęp i DDNS – na przykładzie Teltonika RUT240
Kontakt w sprawie artykułu: Łukasz Żabski - 2020-10-01
Z tego artykułu dowiesz się:
- jak przygotować się do konfiguracji routera przemysłowego na przykładzie routera Teltonika RUT240,
- gdzie pobrać aktualny firmware,
- jak skonfigurować OpenVPN,
- jak skonfigurować zdalny dostęp do sterownika PLC,
- jak ustawić Dynamiczny DNS czyli DDNS.
Uruchamiasz aplikacje M2M/IoT wymagające zaawansowanych funkcji sieciowych, VPN oraz bezpieczeństwa komunikacji? Pracujesz w technologii GSM, GPRS, EDGE, UMTS/HSPA+, LTE oraz WiFi? Chcesz dowiedzieć się, jak działa router przemysłowy 4G LTE?
Poznaj konfigurację routera przemysłowego na przykładzie Teltonika RUT240. Dzięki temu nauczysz się routowania połączeń, sterowania SMS, obsługi Modbus TCP Slave i Master. Sprawnie uruchamiaj platformy IoT i umożliwiaj komunikację po HTTP(S) lub MQTT.
Jak przygotować się do konfiguracji routera 4G / LTE:
1.Karta SIM musi posiadać publiczny (statyczny lub dynamiczny) adres IP. Więcej o prywatnych i publicznych adresach na: https://wiki.teltonika.lt/view/Private_and_Public_IP_Addresses.
2. Przedstawiona poniżej instrukcja jest jedynie przykładem konfiguracji. Wszystkie parametry (adresy IP, maski podsieci, APN, itd.) należy przystosować do własnej konfiguracji sprzętowej.
Gdzie pobrać aktualny firmware:
Zaktualizuj firmware do najnowszej dostępnej wersji dla danego urządzenia (dostępne na: https://wiki.teltonika.lt/view/Network_products lub przez WebUI routera w zakładce system -> Firmware)
Podstawowa konfiguracja routera
Kablem Ethernet podłącz komputer do routera. Następnie w polu adresu przeglądarki wpisz adres IP routera (domyślnie 192.168.1.1).
Zaloguj się do WebUI (domyślnie Username: „admin”, hasło: „admin01”).
Przy pierwszym logowaniu konieczna będzie zmiana domyślnego hasła.
W pierwszym kroku kreatora konfiguracji wybierz odpowiednią strefę czasową (dodatkowo możesz zsynchronizować czas z przeglądarką internetową komputera lub lokalizatorem GPS).
W drugim kroku skonfiguruj połączenie mobilne. Wpisz APN oraz metodę potwierdzenia autentyczności, które pozwolą na przypisanie publicznego adresu IP (!), kod PIN karty oraz (opcjonalnie) numer telefonu.
W kolejnym kroku wpisz adres IP routera w sieci wewnętrznej (pamiętaj, aby router znajdował się w tej samej podsieci, co urządzenia, z którymi będzie się łączył) oraz maskę podsieci. DHCP pozostaw włączone oraz określ limit dynamicznie przydzielanych adresów IP.
Krok 4 (opcjonalny): konfiguracja WiFi. Skonfiguruj nazwę Punktu Dostępowego, tryb, kanał, szyfrowanie oraz klucz według potrzeb.
Ostatnim krokiem jest aktywacja licencji RMS.
Aby dowiedzieć się więcej o systemie zdalnego zarządzania, odwiedź www.rms.teltonika.lt lub skontaktuj się z amc@astor.com.pl.
Konfiguracja servera openvpn
Upewnij się, że router posiada publiczny adres IP w zakładce Status -> Overwiev.
Aby pozwolić na zdalne połączenie się do sieci routera należy włączyć Maskaradę sieci LAN w zakładce Network -> Firewall.
Przejdź do zakładki Services -> VPN. Wybierz rolę „Server” oraz nadaj nazwę Servera OpenVPN. Dodaj instancję przyciskiem „Add New”.
Parametry Servera:
- TUN/TAP
- TUN – połączenie tunelowe
- TAP – połączenie mostkowe
- Protokół
- UDP – większa prędkość transmisji, wymaga mniej zasobów, brak pewności przesłania każdego z pakietów
- TCP – mniejsza prędkość transmisji, wymaga dużej ilości zasobów, pewność przesłania każdego pakietu
- Port (1194) – port wykorzystywany do połączenia VPN.
- LZO (ON) – algorytm bezstratnej kompresji danych. Z kompresją danych połączenie VPN spowoduje mniejsze obciążenie sieci.
- Encryption (BF-CBC 128) – algorytm szyfrowania danych. Zależnie od wybranego algorytmu i długości klucza możesz manipulować stosunkiem poziomu bezpieczeństwa do prędkości transmisji.
- Authentication (TLS) – metoda potwierdzenia autentyczności.
- Keep alive (10 120) – parametr utrzymywania połączenia. Pierwsza wartość określa interwał wysyłania zapytania „Ping”. Druga wartość określa czas oczekiwania Klienta na odpowiedź. Po przekroczeniu określonego czasu Klient przystąpi do ponownego nawiązania połączenia. Wartości 10 120 są ustawieniem domyślnym i stosunkowo uniwersalnym. Parametr dostosuj do własnych potrzeb.
- Virtual network IP address (10.0.0.0) – IP wirtualnej sieci VPN.
- Virtual network netmask (255.255.255.0) – maska wirtualnej podsieci VPN.
- Push option – opcje przekazywane każdemu połączonemu klientowi OpenVPN, np. „route 192.168.1.0 255.255.255.0” zezwoli na przekierowanie do sieci lokalnej 192.168.1.0 przez server OpenVPN (t.j. zdalny dostęp do sieci przez tunel VPN).
Generowanie certyfikatów/kluczy TLS
Dokładny poradnik generowania kluczy krok po kroku znajduje się pod adresem
Po wygenerowaniu wszystkich plików dołącz je do konfiguracji serwera OpenVPN
Po wypełnieniu wszystkich pól konfiguracji i dołączeniu plików TLS zatwierdź ustawienia przyciskiem Save.
Konfiguracja klienta openvpn
Stwórz dokument tekstowy w wybranej przez siebie lokalizacji oraz rozpocznij jego edycję.
Będzie to plik konfiguracyjny klienta OpenVPN. Wypełnij plik poniższym tekstem.
Uwaga: po skopiowaniu kodu zamień wszystkie cudzysłowy na górne, proste.
client
dev tun
proto udp4
remote 213.158.208.138 1194
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\Client1.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\Client1.key"
keepalive 10 120
persist-key
persist-tun
cipher BF-CBC
comp-lzo
verb 7
Przedstawiona konfiguracja klienta jest poprawna jedynie przy ustawieniach servera prezentowanych w punkcie „Konfiguracja Servera OpenVPN”. W tym momencie należy odpowiednio zmienić ustawienia klienta tak, aby odpowiadały one ustawieniom Servera.
Linia „remote IP port” odnosi się do adresu IP WAN Servera oraz portu. Adres sprawdź w zakładce Status -> Overview w polu „WAN”.
Linie: „ca”, „cert”, „key” odnoszą się do wcześniej wygenerowanych plików TLS. Wpisz odpowiednią lokalizację plików na swoim komputerze.
Gdy plik jest gotowy wybierz opcję Plik -> Zapisz jako… . Do nazwy pliku dołącz końcówkę „.ovpn”, aby plik został zapisany w odpowiednim formacie.
Łączenie z serverem openVPN
Uruchom OpenVPN GUI jako administrator.
W prawym dolnym rogu paska zadań pojawi się ikona graficznego interfejsu użytkownika OpenVPN. Prawym przyciskiem myszy rozwiń opcje, wybierz „Import file” oraz odszukaj stworzony plik konfiguracyjny klienta OpenVPN.
Po zaimportowaniu pliku połącz się z Serverem.
Proces łączenia z Serverem zakończy się komunikatem o przyznaniu IP w wirtualnej sieci.
Ostatnim krokiem jest przetestowanie połączenia komendami ping. Testy rozpocznij od Servera wirtualnej sieci (10.0.0.1), następnie lokalnego IP routera (192.168.1.1), a następnie urządzeń w sieci, do których chcesz mieć zdalny dostęp (np. 192.168.1.128).
Dynamiczny DNS – dla kart SIM z dynamicznym adresem IP
1. DNS i DDNS
Usługa DNS (Domain Name System) umożliwia przetłumaczenie adresu IP z postaci numerycznej na domenową. Serwisy DDNS (Dynamic Domain Name System) są w stanie świadczyć taką usługę dla dynamicznie zmieniających się adresów IP (głównie stosowane w przypadku kart SIM z publicznym adresem IP).
Połączenie z serverem OpenVPN zostanie przerwane, gdy jego adres IP (przydzielany dynamicznie przez operatora) zostanie zmieniony. W takiej sytuacji stosuje się DDNS, np. linię „remote 213.158.208.138 1194” w pliku konfiguracyjnymzmieniamy na „remote vpnamc.ddns.net”.
2. Konfiguracja DDNS
(więcej przykładów na https://wiki.teltonika.lt/view/DDNS_Configuration_Examples)
Załóż konto na jednym z serwisów DDNS wspieranym przez routery Teltonika (dyn.com, dyndns.org, noip.com oraz wiele innych). Na wybranym przez siebie serwisie stwórz swoją domenę, wpisując nazwę oraz WAN IP routera (zakładka Status -> Overview), np.
Przejdź do zakładki Services -> Dynamic DNS. Domyślnie stworzona jest jedna, nieaktywna instancja DDNS. Przejdź do jej edycji przyciskiem „Edit”.
Zaznacz okno „Enable”, wybierz serwis DDNS, którego używasz, wypełnij nazwę użytkownika oraz hasło. Z tabeli źródła IP wybierz opcję „Public” i zostaw domyślne URL wykrywające Twoje IP. Dobierz częstotliwość wykrywania oraz wymuszania nowego IP.
Zapisz konfigurację przyciskiem „Save”.
Ostatnim krokiem jest zezwolenie na zdalny dostęp. Przejdź do zakładki System -> Administration. Następnie w zakładce Access Control zaznacz pole „Enable remote HTTP access”.
Jeśli konfiguracja przebiegła pomyślnie, w zakładce Dynamic DNS pojawi się data przydzielenia domeny, a zdalny dostęp będzie możliwy.
Po przetestowaniu domeny, w pliku konfiguracyjnym Klienta OpenVPN zmień adres IP i port z linii „remote …” na domenę, np. „remote vpnamc.ddns.net”.
Podsumowanie:
Z tego artykułu dowiedziałeś/aś się, jak skonfigurować od podstaw router przemysłowy 4G LTE. Jeśli masz jakiekolwiek pytania, napisz do autora poradnika.
Zobacz produkt: Router przemysłowy 4G (LTE); Ethernet; 64MB RAM; SMS; IPSec; openVPN; WiFi; montaż na szynie DIN
Planujesz rozbudowę sieci? Sprawdź inne produkty Teltoniki: routery przemysłowe 4G/LTE i gateway’e komórkowe 4G/LTE
Z kolejnego artykułu nauczysz się konfiguracji sieci ZeroTier. Czytaj ten artykuł
Dzień dobry,
chciałbym się spytać odnośnie portów eth. dostępnych w routerze RUT240. W dokumentacji podany mamy 1xLAN, 1xWAN. Czy w przypadku portu WAN działa on w trybie WAN/LAN ? Może głupie pytanie, ale chciałbym upewnić się przed zakupem routera – potrzebuje podłączyć 2 urządzenia po stronie routera.
Z góry dziękuje za pomoc
Dzień dobry,
Port WAN można skonfigurować, aby działał w trybie LAN, uzyskując wówczas 2x port LAN w urządzeniach RUT241 (RUT240 nie są już produkowane, zostały zastąpione przez RUT241, które są następcą bez funkcjonalnych różnic).
Pozdrawiam,
Łukasz Żabski
ASTOR Mission Critical
Dzień dobry.
Moje pytanie dotyczy funkcji monitorowania połączenia.
„Ping Reboot
Periodic Reboot
LCP / ICMP”
Czy dobrze rozumiem, ze ta pierwsza funkcja to odpowiednik tzw. watchdoga?
Potrzebuję kupić ruter LTE do pracy w dość „trudnym” miejscu z nie najlepszym poziomem sygnału, często reset obecnego modemu dopiero przywraca mi połączenie ze stacją nadawczą. Zakładam, ze ta funkcja pozwoliłaby zautomatyzować przywracanie połączenia (monitoring na działce).
Pozdrawiam
Dzień dobry,
Zgadza się, funkcje Ping Reboot i Periodic Reboot (w nowszych wersjach oprogramowania w usłudze „Auto Reboot”) służą do automatycznego resetowania urządzenia. Ping Reboot pozwala na stworzenie warunków resetu – jaki host będzie pingowany, ile prób urządzenie podejmie przed wykonaniem akcji oraz jaka będzie akcja (m.in. do wyboru reset samego modemu GSM lub całego urządzenia). Periodic Reboot wykona cykliczny reset urządzenia zgodnie z zadanym harmonogramem.
Opisany jest tu tylko OpenVPN a gdzie pozostałe?
Ten jest jednym z najgorszych wyborów z dostępnych opcji.
Artykuły na Poradniku Automatyka powstają w odpowiedzi na najczęściej zadawane pytania przez naszych klientów. OpenVPN jest jednym z najczęstszych wyborów ze względu na łatwość użycia i zaawansowane możliwości zarządzania i troubleshootingu (w kwestii cyberbezpieczeństwa również nie odstaje od „konkurencji”).
Określenie czy dany VPN jest „najlepszy” czy „najgorszy” jest w pełni subiektywną oceną i zależy od potrzeb oraz dotychczasowych doświadczeń – bardzo chętnie usłyszymy jaki według Pana jest najlepszy wybór (oraz dlaczego).
Niemniej jednak artykuły to nie jest nasza jedyna forma wsparcia technicznego w ASTOR. Jeśli ma Pan pytania do innych funkcjonalności to zachęcam do kontaktu na amc@astor.com.pl. Następnie mailowo lub telefonicznie postaramy się odpowiedzieć na wszystkie pytania i wyjaśnić nieścisłości.
Mam router z modemem usb i karta sim z Orange czy można zrobić zdalny dostep z zewnątrz do tego routera ? Czy w jakiś sposób można podłączyć kamerę ip pod taka sieć by mieć z zewnątrz podgląd?
1. Zdalny dostęp do routera oczywiście jest możliwy np. od strony konsoli lub przez stronę www – odpowiednie opcje na to zezwalają lub dla bezpieczeństwa blokują w routerze. Możliwe jest też zarządzanie poprzez RMS – Remote Management System – ta opcja pozwoli dodatkowo na zarządzanie samą kamerą podpiętą do routera przez stronę www – czasami jest taka potrzeba w celu konfiguracji samej kamery. Po więcej informacji prosiłbym o kontakt na amc@astor.com.pl
2. Druga kwestia to adres jaki mamy na karcie SIM – czy jest to adres publiczny czy prywatny, zmienny czy stały – mamy na to osobny artykuł w poradniku automatyka:
https://www.astor.com.pl/poradnikautomatyka/jakie-uslugi-kart-sim-oferuja-operatorzy-jakie-sa-rodzaje-adresow-ip-i-jakie-daja-mozliwosci-dla-routerow-i-sieci-przemyslowych/
W zależności od sytuacji, mamy szereg możliwości konfiguracyjnych takich jak OpenVPN, ZeroTier itp.
3. Teltonika jest partnerem producenta kamer Hikvision, jeśli kamera jest tego producenta, istnieje poradnik na stronie wiki teltoniki jak takie połączenie skonfigurować:
https://wiki.teltonika-networks.com/view/Hikvision:_remote_camera_access
Dla innych kamer będzie bardzo podobnie.
Chciałbym używać RUT950 za granicą z kartą polskiego operatora. Czy mozna skonfigurować to urządzenie do pracy w roamingu??
Tak można. W domyślnej konfiguracji routery korzystają z roamingu, ale można tę opcję wyłączyć. W razie wątpliwości proszę o kontakt na amc@astor.com.pl
wydaje się opis/poradnik zrozumiały, ale jak zwykle po zakupie sprzętu będę mógł to potwierdzć.
Dziękujemy za opinię. W razie wątpliwości proszę o kontakt na amc@astor.com.pl. Odpowiemy na wszelkie pytania lub możemy zaproponować wypożyczenie sprzętu.