Strona główna ASTOR

Zdalny dostęp w celu programowania sterownika PLC bez publicznego IP, na przykładzie Teltonika RUT955 + Horner XL4e + ZeroTier
Kurs zdalnego dostępu do maszyn i stanowisk produkcyjnych odc.3

Kontakt w sprawie artykułu: Łukasz Żabski - 2021-08-24

Z tego artykułu dowiesz się:

  • jak uzyskać zdalny dostęp do sterownika PLC (oraz innych urządzeń!) bez publicznego adresu IP,
  • jak poprawnie skonfigurować sterownik PLC, aby umożliwić zdalne połączenie,
  • jakie są najczęściej popełniane błędy i jak się ich ustrzec

Słownik pojęć

  • WebUI (Web User Interface) – przeglądarkowy interfejs użytkownika; podstawowa metoda konfiguracji routera Teltonika RUT955,
  • ZeroTier – pozwala zestawić bezpieczne, szyfrowane połączenie „end-to-end” dowolnych urządzeń z dostępem do Internetu.

Kurs zdalnego dostępu do maszyn i stanowisk produkcyjnych dla automatyków od podstaw

Wstęp: Jakie usługi kart SIM oferują operatorzy, czym się one różnią i jakie dają możliwości dla routerów i sieci przemysłowych?

  • 1. Podstawowa konfiguracja routera dla sieci przemysłowej – dostęp do Internetu, publiczny IP, LAN, WiFi, resetowanie routera, DDNS| Kurs zdalnego dostępu do maszyn i stanowisk produkcyjnych odc.1
  • 2. Zdalny dostęp w celu programowania sterownika, na przykładzie Teltonika RUT955 + Horner XL4e + OpenVPN | Kurs zdalnego dostępu do maszyn i stanowisk produkcyjnych odc.2
  • 3. Zdalny dostęp w celu programowania sterownika bez publicznego IP, na przykładzie Teltonika RUT955 + Horner XL4e + ZeroTier | Kurs zdalnego dostępu do maszyn i stanowisk produkcyjnych odc.3
  • 4. Tworzenie przemysłowej sieci OpenVPN stworzonej z trzech zdalnych punktów. Jak przypisać statyczny adres IP w sieci OpenVPN | Kurs zdalnego dostępu do maszyn i stanowisk produkcyjnych odc.4
  • 5. Konwersja Modbus RTU i Modbus TCP w routerach przemysłowych | Kurs zdalnego dostępu do maszyn i stanowisk produkcyjnych odc.5
  • 6. Alarmowanie SMS w routerach przemysłowych| Kurs zdalnego dostępu do maszyn i stanowisk produkcyjnych odc.6
  • 7. Konwersja Modbus TCP/MQTT w routerach przemysłowych | Kurs zdalnego dostępu do maszyn i stanowisk produkcyjnych odc.7
  • 8. „Troubleshooting” – sposoby szukania błędów w konfiguracji routerów przemysłowych | Kurs zdalnego dostępu do maszyn i stanowisk produkcyjnych odc.8
  • W poprzednim odcinku dowiedziałeś/aś się, jak wykonać zdalne połączenie do sterownika PLC, za pomocą OpenVPN. Jednak często będziesz mieć do czynienia z sytuacjami, w których router nie ma możliwości uzyskania publicznego IP, np. kiedy to użytkownik końcowy zapewnia dostęp do Internetu lub gdy (w bardzo prostych aplikacjach) karta SIM z publicznym IP nie jest uzasadniona finansowo.

    W takich przypadkach konieczne będzie skorzystanie z oferty usługodawców, którzy umożliwiają użytkownikom zestawienie szyfrowanego tunelu. W tej sytuacji do połączenia posłuży ZeroTier, ponieważ każdy przemysłowy router i gateway Teltonika, jest z nim kompatybilny.

    W tym odcinku po raz kolejny, jako jeden z wielu przykładów zastosowania, posłuży nam zdalny dostęp w celu programowania sterownika PLC. Równocześnie, konfiguracja umożliwi też zdalne połączenie z większością innych urządzeń IP (panel HMI, system SCADA, przemiennik częstotliwości, kamera, maszyna itp.).

    Przedstawiona w tej części naszego kursu, przykładowa konfiguracja, będzie oparta o sterownik PLC Horner z serii XL4e oraz przemysłowy router Teltonika RUT955.

    Szacowany czas konfiguracji: ~30-60 min.

    Zdalny dostęp do sterownika PLC, Źródło: Mission Critical by ASTOR
    Zdalny dostęp do sterownika PLC, Źródło: Mission Critical by ASTOR

    Instalacja pakietu ZeroTier na routerze Teltonika RUT955

    Po wstępnej konfiguracji routera (odc. 1 kursu) powinien on mieć dostęp do Internetu. Drugim krokiem będzie instalacja ZeroTier na routerze Teltonika RUT955.

    Aby tego dokonać, przejdź do strony https://wiki.teltonika-networks.com/view/RUT955_Package_Downloads i pobierz pakiet ZeroTier zgodny z wersją firmwaru twojego urządzenia. Następnie wejdź w zakładkę Services > Package Manager > Upload i załaduj pobrany plik.

    Instalacja pakietu ZeroTier na routerze Teltonika RUT955, Źródło: Mission Critical by ASTOR

    Tworzenie sieci ZeroTier

    Na początek załóż konto ZeroTier: https://my.zerotier.com/login.

    Po zalogowaniu się do serwisu, stwórz nową sieć na https://my.zerotier.com/network, a następnie przejdź do konfiguracji, klikając w jej pole.

    Tworzenie nowej sieci ZeroTier, Źródło: Mission Critical by ASTOR

    Dla łatwiejszego rozróżnienia pomiędzy sieciami, możesz zmienić nazwę sieci w polu Name. W celu zachowania cyberbezpieczeństwa, pozostaw sieć w trybie PRIVATE.

    Podstawowe ustawienia sieci ZeroTier, Źródło: Mission Critical by ASTOR

    Konfiguracja routera Teltonika RUT955

    Konfigurację zacznij od skopiowania Network ID ze strony zarządzania siecią ZeroTier.

    Network ID panelu ZeroTier, Źródło: Mission Critical by ASTOR

    Następnie zapisz nazwe sieci i kliknij przycisk ADD. Zaznacz opcję Enabled. W polu Networks wklej Network ID i zapisz konfigurację przyciskiem SAVE & APPLY.

    Konfiguracja ZeroTier General, Źródło: Mission Critical by ASTOR

    Konfiguracja sieci ZeroTier

    Przejdź do segmentu Advanced. W polu Destination dodaj ścieżkę 10.0.0.0/24 (w ten sposób zdefiniujesz adresację w sieci VPN na 10.0.0.1 – 10.0.0.254). Pole (via) pozostaw puste. Zatwierdź zmiany przyciskiem Submit.

    Następnie w segmencie IPv4 Auto-Assign przejdź do zakładki Advanced. W pole Range Start wpisz 10.0.0.2, a w pole Range End 10.0.0.254 (dzięki temu sieć będzie automatycznie przydzielała urządzeniom adresy z podanego zakresu).

    Dla obu powyższych opcji usuń ustawienia domyślne.

    Konfiguracja sieci ZeroTier, Źródło: Mission Critical by ASTOR

    Autoryzacja członków sieci ZeroTier

    Każdy z członków prywatnej sieci ZeroTier, przy pierwszym połączeniu, musi zostać zatwierdzony przez administratora.

    W celu autoryzacji, w panelu sieci ZeroTier, przejdź do segmentu Members. Zobaczysz wszystkie urządzenia, które próbują połączyć się do sieci. Upewnij się, że ID połączonego urządzenia, to urządzenie, któremu chcesz umożliwić dostęp do sieci.

    Zatwierdź urządzenie w polu Auth? i nadaj mu nazwę. W przypadku routera Teltonika RUT955 możesz zmienić adres IP urządzenia, aby ułatwić konfigurację przekierowania ruchu w tunelu VPN.

    Autoryzacja członków sieci ZeroTier, Źródło: Mission Critical by ASTOR

    Przekierowanie ruchu przez tunel VPN

    Dotychczasowa konfiguracja pozwoli kolejnym użytkownikom na zdalny dostęp do routera Teltonika RUT955, za pomocą przydzielonego adresu IP 10.0.0.1. Aby mieć dostęp również do całej sieci LAN routera, należy dodać odpowiednią trasę w konfiguracji sieci ZeroTier.

    Aby to zrobić, przejdź do obszaru Managed Routes. W pole Destination wpisz 192.168.1.0/24 (sieć LAN RUT955). W pole (via) wpisz 10.0.0.1 (dla sieci ZeroTier jest to informacja, że sieć LAN routera znajduje się za przydzielonym adresem 10.0.0.1). Zatwierdź zmiany przyciskiem Submit.

    Przekierowanie ruchu przez tunel VPN, Źródło: Mission Critical by ASTOR

    Konfiguracja sterownika PLC Horner XL4e

    Aby skonfigurować sterownik PLC Horner XL4e, przejdź do menu systemowego, za pomocą przycisku funkcyjnego SYS. Wybierz zakładkę Set Networks > LAN Settings. Ustaw adres IP zgodny z podsiecią i maską routera Teltonika RUT955. Dla naszego przykładu będą to:

    IP: 192.168.1.10
    NetM: 255.255.255.0
    GatWy: 192.168.1.1 (adres IP routera Teltonika RUT955).

    Wyjdź z ustawień przyciskiem ESC.

    Uruchom CsCape (jeśli na sterowniku jest już wgrany program, uruchom odpowiedni projekt). Wybierz metodę połączenia LAN, następnie wpisz adres IP sterownika PLC i zatwierdź przyciskiem Finish.

    Połączenie ze sterownikiem PLC, Źródło: Mission Critical by ASTOR

    W kolejnym kroku przejdź do zakładki Controller > Hardware Configuration. Zidentyfikuj model sterownika PLC przyciskiem Auto Config i przyciskiem w wierszu LAN1 przejdź do okna konfiguracji Config.

    Wpisz adres IP, maskę podsieci i Gateway zgodnie z topologią sieci. Zaznacz funkcję Modbus Slave. Zapisz zmiany przyciskiem OK. Następnie wgraj program do sterownika PLC, za pomocą funkcji Program > Download.

    Konfiguracja sterownika PLC, Źródło: Mission Critical by ASTOR

    Podłączenie komputera Windows do sieci ZeroTier i sprawdzanie połączenia

    Na początek pobierz najnowszą wersję oprogramowania ze strony https://www.zerotier.com/download/. Uruchom instalator i zainstaluj program na komputerze. Następnie uruchom ZeroTier One.

    W prawym dolnym rogu paska zadań – w pasku narzędzi, pojawi się ikona ZeroTier One. Kliknij ją lewym lub prawym przyciskiem myszy i dołącz do nowej sieci wybierając Join Network… Wyskoczy nam nowe okno Join ZeroTier Network, w którym wpisz ID sieci ZeroTier.

    Połączenie komputera do sieci ZeroTier, Źródło: Mission Critical by ASTOR

     Zatwierdź nowego członka sieci i nadaj mu nazwę w panelu ZeroTier.

    Autoryzacja nowego członka sieci ZeroTier, Źródło: Mission Critical by ASTOR

    Zdalne połączenie ze sterownikiem PLC i sprawdzenie połączenia

    Konfiguracja wszystkich elementów jest już gotowa. Możesz teraz przejść do przetestowania swojej aplikacji zdalnego dostępu.

    W pierwszej kolejności wykonaj najłatwiejszy test za pomocą komendy Ping w Wierszu polecenia. Odpowiedzi powinny przychodzić z opóźnieniem 100-200 ms.

    Możesz uruchomić CsCape i sprawdzić, czy połączenie ze sterownikiem PLC zostało poprawnie nawiązane (analogicznie sprawdzisz driver komunikacyjny, system SCADA, narzędzie konfiguracji paneli HMI, itp.)

    Status połączenia ze sterownikiem PLC w CsCape, Źródło: Mission Critical by ASTOR

    Jakie są najczęściej popełniane błędy i jak się ich ustrzec?

    • Niepoprawna adresacja w sieci IP

    Upewnij się, że urządzenia są w odpowiednich podsieciach, zgodnie z adresacją routera i maską podsieci. Pamiętaj, aby w sterowniku PLC (lub innym urządzeniu, do którego chcesz mieć zdalny dostęp) Default Gateway był ustawiony na adres IP routera.

    • Niepoprawna ścieżka w konfiguracji sieci ZeroTier

    Upewnij się, czy dodana ścieżka w Managed Route prowadzi do poprawnej sieci LAN i czy ruch kierowany jest na odpowiedni adres w sieci ZeroTier (w przykładzie adres 10.0.0.1)

    • Dobra praktyka – diagnostyka

    Warto kontrolować aktualny stan urządzeń w panelu sieci ZeroTier. Status połączenia do wszystkich sieci w kliencie Windows możesz zobaczyć naciskając prawym lub lewym przyciskiem myszy na ZeroTier One i wybierając Show Networks…

    W następnym odcinku, na przykładzie dwóch przypadków, dowiesz się jak tworzyć pełne sieci oparte na VPN, jak wygląda struktura sieci oraz jak zarządzać w niej adresami IP.

    Czy ten artykuł był dla Ciebie przydatny?

    Średnia ocena artykułu: 5 / 5. Ilość ocen: 14

    Ten artykuł nie był jeszcze oceniony.

    Zadaj pytanie

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

    8 odpowiedzi na “Zdalny dostęp w celu programowania sterownika PLC bez publicznego IP, na przykładzie Teltonika RUT955 + Horner XL4e + ZeroTier | Kurs zdalnego dostępu do maszyn i stanowisk produkcyjnych odc.3”

    1. Witam, czy można na tych routerach stworzyć konfigurację:
      1 urządzenie: Karta SIM i internet – połączenie po VPN jako klient VPN (czy jest opcja klienta VPN czy tylko serwer? )
      2 urządzenie połączenie po WIFI z 1 urządzeniem

      Na obu urządzeniach ma być ta sama podsieć jakby działały w sieci lokalnej tylko połączone mostem WIFI. Dostęp po VPN ma umożliwiać dostęp do podłączonych odbiorników z obu urządzeń.

      Będę wdzięczny za informację i propozycję konfiguracji jakie urządzenia zakupić do tej konfiguracji.

      • W artykule posłużyliśmy się sterownikiem PLC jako przykładem. Działanie z panelami HMI jest analogiczne. W powyższej konfiguracji podanie bramy domyślnej w HMI jest wymagane podobnie jak w sterowniku.

    2. Jak skonfigurować RUTa aby działał z każdym lokalnym adresem IP, a nie z góry ustalonym? Tzn. Tak, aby na TAP adapterze w PC definiować IP z podsieci maszyny.

      • Witam,

        Ustawienie tej samej podsieci na RUT i urządzeniu, do którego chcemy uzyskać zdalny dostęp jest kluczowe. Niestety nie ma możliwości ustawienia konfiguracji uniwersalnej dla zmieniającej się adresacji sieci LAN (co więcej – urządzenie końcowe musi mieć ustawiony Default Gateway na adres RUTa).
        Adresację można edytować za pomocą zdalnego dostępu przez ZeroTier LUB korzystając np. z systemu do zdalnego zarządzania: Teltonika RMS https://www.astor.com.pl/sklep/modemy-gsm/teltonika-1/amc-rms.html

        W tej konfiguracji, adresacja PC nie ma znaczenia. Jedyne wymaganie to dostęp do internetu i uruchomiona usługa ZeroTier.

        Jeśli pojawią się dalsze pytania lub chciałby Pan porozmawiać o innych możliwościach konfiguracji, to proszę o kontakt mailowy – lukasz.zabski@astor.com.pl
        Pozdrawiam,

    Dodaj komentarz

    Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *