Zdalny dostęp w celu programowania sterownika PLC bez publicznego IP, na przykładzie Teltonika RUT955 + Horner XL4e + ZeroTier
Kurs zdalnego dostępu do maszyn i stanowisk produkcyjnych odc.3
Kontakt w sprawie artykułu: Łukasz Żabski - 2021-08-24
Z tego artykułu dowiesz się:
- jak uzyskać zdalny dostęp do sterownika PLC (oraz innych urządzeń!) bez publicznego adresu IP,
- jak poprawnie skonfigurować sterownik PLC, aby umożliwić zdalne połączenie,
- jakie są najczęściej popełniane błędy i jak się ich ustrzec
Słownik pojęć
- WebUI (Web User Interface) – przeglądarkowy interfejs użytkownika; podstawowa metoda konfiguracji routera Teltonika RUT955,
- ZeroTier – pozwala zestawić bezpieczne, szyfrowane połączenie „end-to-end” dowolnych urządzeń z dostępem do Internetu.
Kurs zdalnego dostępu do maszyn i stanowisk produkcyjnych dla automatyków od podstaw
Wstęp: Jakie usługi kart SIM oferują operatorzy, czym się one różnią i jakie dają możliwości dla routerów i sieci przemysłowych?W poprzednim odcinku dowiedziałeś/aś się, jak wykonać zdalne połączenie do sterownika PLC, za pomocą OpenVPN. Jednak często będziesz mieć do czynienia z sytuacjami, w których router nie ma możliwości uzyskania publicznego IP, np. kiedy to użytkownik końcowy zapewnia dostęp do Internetu lub gdy (w bardzo prostych aplikacjach) karta SIM z publicznym IP nie jest uzasadniona finansowo.
W takich przypadkach konieczne będzie skorzystanie z oferty usługodawców, którzy umożliwiają użytkownikom zestawienie szyfrowanego tunelu. W tej sytuacji do połączenia posłuży ZeroTier, ponieważ każdy przemysłowy router i gateway Teltonika, jest z nim kompatybilny.
W tym odcinku po raz kolejny, jako jeden z wielu przykładów zastosowania, posłuży nam zdalny dostęp w celu programowania sterownika PLC. Równocześnie, konfiguracja umożliwi też zdalne połączenie z większością innych urządzeń IP (panel HMI, system SCADA, przemiennik częstotliwości, kamera, maszyna itp.).
Przedstawiona w tej części naszego kursu, przykładowa konfiguracja, będzie oparta o sterownik PLC Horner z serii XL4e oraz przemysłowy router Teltonika RUT955.
Szacowany czas konfiguracji: ~30-60 min.
Instalacja pakietu ZeroTier na routerze Teltonika RUT955
Po wstępnej konfiguracji routera (odc. 1 kursu) powinien on mieć dostęp do Internetu. Drugim krokiem będzie instalacja ZeroTier na routerze Teltonika RUT955.
Aby tego dokonać, przejdź do strony https://wiki.teltonika-networks.com/view/RUT955_Package_Downloads i pobierz pakiet ZeroTier zgodny z wersją firmwaru twojego urządzenia. Następnie wejdź w zakładkę Services > Package Manager > Upload i załaduj pobrany plik.
Tworzenie sieci ZeroTier
Na początek załóż konto ZeroTier: https://my.zerotier.com/login.
Po zalogowaniu się do serwisu, stwórz nową sieć na https://my.zerotier.com/network, a następnie przejdź do konfiguracji, klikając w jej pole.
Dla łatwiejszego rozróżnienia pomiędzy sieciami, możesz zmienić nazwę sieci w polu Name. W celu zachowania cyberbezpieczeństwa, pozostaw sieć w trybie PRIVATE.
Konfiguracja routera Teltonika RUT955
Konfigurację zacznij od skopiowania Network ID ze strony zarządzania siecią ZeroTier.
Następnie zapisz nazwe sieci i kliknij przycisk ADD. Zaznacz opcję Enabled. W polu Networks wklej Network ID i zapisz konfigurację przyciskiem SAVE & APPLY.
Konfiguracja sieci ZeroTier
Przejdź do segmentu Advanced. W polu Destination dodaj ścieżkę 10.0.0.0/24 (w ten sposób zdefiniujesz adresację w sieci VPN na 10.0.0.1 – 10.0.0.254). Pole (via) pozostaw puste. Zatwierdź zmiany przyciskiem Submit.
Następnie w segmencie IPv4 Auto-Assign przejdź do zakładki Advanced. W pole Range Start wpisz 10.0.0.2, a w pole Range End 10.0.0.254 (dzięki temu sieć będzie automatycznie przydzielała urządzeniom adresy z podanego zakresu).
Dla obu powyższych opcji usuń ustawienia domyślne.
Autoryzacja członków sieci ZeroTier
Każdy z członków prywatnej sieci ZeroTier, przy pierwszym połączeniu, musi zostać zatwierdzony przez administratora.
W celu autoryzacji, w panelu sieci ZeroTier, przejdź do segmentu Members. Zobaczysz wszystkie urządzenia, które próbują połączyć się do sieci. Upewnij się, że ID połączonego urządzenia, to urządzenie, któremu chcesz umożliwić dostęp do sieci.
Zatwierdź urządzenie w polu Auth? i nadaj mu nazwę. W przypadku routera Teltonika RUT955 możesz zmienić adres IP urządzenia, aby ułatwić konfigurację przekierowania ruchu w tunelu VPN.
Przekierowanie ruchu przez tunel VPN
Dotychczasowa konfiguracja pozwoli kolejnym użytkownikom na zdalny dostęp do routera Teltonika RUT955, za pomocą przydzielonego adresu IP 10.0.0.1. Aby mieć dostęp również do całej sieci LAN routera, należy dodać odpowiednią trasę w konfiguracji sieci ZeroTier.
Aby to zrobić, przejdź do obszaru Managed Routes. W pole Destination wpisz 192.168.1.0/24 (sieć LAN RUT955). W pole (via) wpisz 10.0.0.1 (dla sieci ZeroTier jest to informacja, że sieć LAN routera znajduje się za przydzielonym adresem 10.0.0.1). Zatwierdź zmiany przyciskiem Submit.
Konfiguracja sterownika PLC Horner XL4e
Aby skonfigurować sterownik PLC Horner XL4e, przejdź do menu systemowego, za pomocą przycisku funkcyjnego SYS. Wybierz zakładkę Set Networks > LAN Settings. Ustaw adres IP zgodny z podsiecią i maską routera Teltonika RUT955. Dla naszego przykładu będą to:
IP: 192.168.1.10
NetM: 255.255.255.0
GatWy: 192.168.1.1 (adres IP routera Teltonika RUT955).
Wyjdź z ustawień przyciskiem ESC.
Uruchom CsCape (jeśli na sterowniku jest już wgrany program, uruchom odpowiedni projekt). Wybierz metodę połączenia LAN, następnie wpisz adres IP sterownika PLC i zatwierdź przyciskiem Finish.
W kolejnym kroku przejdź do zakładki Controller > Hardware Configuration. Zidentyfikuj model sterownika PLC przyciskiem Auto Config i przyciskiem w wierszu LAN1 przejdź do okna konfiguracji Config.
Wpisz adres IP, maskę podsieci i Gateway zgodnie z topologią sieci. Zaznacz funkcję Modbus Slave. Zapisz zmiany przyciskiem OK. Następnie wgraj program do sterownika PLC, za pomocą funkcji Program > Download.
Podłączenie komputera Windows do sieci ZeroTier i sprawdzanie połączenia
Na początek pobierz najnowszą wersję oprogramowania ze strony https://www.zerotier.com/download/. Uruchom instalator i zainstaluj program na komputerze. Następnie uruchom ZeroTier One.
W prawym dolnym rogu paska zadań – w pasku narzędzi, pojawi się ikona ZeroTier One. Kliknij ją lewym lub prawym przyciskiem myszy i dołącz do nowej sieci wybierając Join Network… Wyskoczy nam nowe okno Join ZeroTier Network, w którym wpisz ID sieci ZeroTier.
Zatwierdź nowego członka sieci i nadaj mu nazwę w panelu ZeroTier.
Zdalne połączenie ze sterownikiem PLC i sprawdzenie połączenia
Konfiguracja wszystkich elementów jest już gotowa. Możesz teraz przejść do przetestowania swojej aplikacji zdalnego dostępu.
W pierwszej kolejności wykonaj najłatwiejszy test za pomocą komendy Ping w Wierszu polecenia. Odpowiedzi powinny przychodzić z opóźnieniem 100-200 ms.
Możesz uruchomić CsCape i sprawdzić, czy połączenie ze sterownikiem PLC zostało poprawnie nawiązane (analogicznie sprawdzisz driver komunikacyjny, system SCADA, narzędzie konfiguracji paneli HMI, itp.)
Jakie są najczęściej popełniane błędy i jak się ich ustrzec?
- Niepoprawna adresacja w sieci IP
Upewnij się, że urządzenia są w odpowiednich podsieciach, zgodnie z adresacją routera i maską podsieci. Pamiętaj, aby w sterowniku PLC (lub innym urządzeniu, do którego chcesz mieć zdalny dostęp) Default Gateway był ustawiony na adres IP routera.
- Niepoprawna ścieżka w konfiguracji sieci ZeroTier
Upewnij się, czy dodana ścieżka w Managed Route prowadzi do poprawnej sieci LAN i czy ruch kierowany jest na odpowiedni adres w sieci ZeroTier (w przykładzie adres 10.0.0.1)
- Dobra praktyka – diagnostyka
Warto kontrolować aktualny stan urządzeń w panelu sieci ZeroTier. Status połączenia do wszystkich sieci w kliencie Windows możesz zobaczyć naciskając prawym lub lewym przyciskiem myszy na ZeroTier One i wybierając Show Networks…
W następnym odcinku, na przykładzie dwóch przypadków, dowiesz się jak tworzyć pełne sieci oparte na VPN, jak wygląda struktura sieci oraz jak zarządzać w niej adresami IP.
[…] Zdalny dostęp w celu programowania sterownika bez publicznego IP, na przykładzie Teltonika RUT955 … […]
Witam, czy można na tych routerach stworzyć konfigurację:
1 urządzenie: Karta SIM i internet – połączenie po VPN jako klient VPN (czy jest opcja klienta VPN czy tylko serwer? )
2 urządzenie połączenie po WIFI z 1 urządzeniem
Na obu urządzeniach ma być ta sama podsieć jakby działały w sieci lokalnej tylko połączone mostem WIFI. Dostęp po VPN ma umożliwiać dostęp do podłączonych odbiorników z obu urządzeń.
Będę wdzięczny za informację i propozycję konfiguracji jakie urządzenia zakupić do tej konfiguracji.
Dzień dobry,
Przy odpowiedniej konfiguracji wiele urządzeń z oferty Teltonika jest w stanie spełnić opisaną przez Pana funkcjonalność. Dla najprostszych instalacji rekomendujemy np. RUT241. Kiedy wymagany jest switch 4-portowy ETH, rekomendujemy RUT951, a dla najbardziej wymagających pod kątem przepustowości i szybkości instalacji rekomendujemy RUTX11
https://www.astor.com.pl/sklep/oferta-partnerow/mission-critical-urzadzenia-iiot/rut241.html
https://www.astor.com.pl/sklep/oferta-partnerow/mission-critical-urzadzenia-iiot/rut951.html
https://www.astor.com.pl/sklep/oferta-partnerow/mission-critical-urzadzenia-iiot/rutx11.html
Na dostęp do obu urządzeń w znaczącym stopniu będzie wpływać konfiguracja servera VPN, do którego się połączymy – konfiguracja wszystkich urządzeń musi być spójna dla całej koncepcji sieci.
Pozdrawiam.
Czy podobnie będzie działać z Hmi ? Wymaga podania bramy w hmi ?
W artykule posłużyliśmy się sterownikiem PLC jako przykładem. Działanie z panelami HMI jest analogiczne. W powyższej konfiguracji podanie bramy domyślnej w HMI jest wymagane podobnie jak w sterowniku.
Jak skonfigurować RUTa aby działał z każdym lokalnym adresem IP, a nie z góry ustalonym? Tzn. Tak, aby na TAP adapterze w PC definiować IP z podsieci maszyny.
Witam,
Ustawienie tej samej podsieci na RUT i urządzeniu, do którego chcemy uzyskać zdalny dostęp jest kluczowe. Niestety nie ma możliwości ustawienia konfiguracji uniwersalnej dla zmieniającej się adresacji sieci LAN (co więcej – urządzenie końcowe musi mieć ustawiony Default Gateway na adres RUTa).
Adresację można edytować za pomocą zdalnego dostępu przez ZeroTier LUB korzystając np. z systemu do zdalnego zarządzania: Teltonika RMS https://www.astor.com.pl/sklep/modemy-gsm/teltonika-1/amc-rms.html
W tej konfiguracji, adresacja PC nie ma znaczenia. Jedyne wymaganie to dostęp do internetu i uruchomiona usługa ZeroTier.
Jeśli pojawią się dalsze pytania lub chciałby Pan porozmawiać o innych możliwościach konfiguracji, to proszę o kontakt mailowy – lukasz.zabski@astor.com.pl
Pozdrawiam,
Świetny poradnik ale brakuje kolejnych części.