Acces la distanță la dispozitive și mașini prin intermediul rețelei mobile. #1 Redirecționarea porturilor

17.11.2022 How to /
acces de la distanță la dispozitiv
Portret de autor
Adrian Marius Benea Fost angajat Elmark Automation

Acces la distanță la dispozitive și mașini prin intermediul rețelei mobile

#1 Redirecționarea porturilor

În diverse industrii și sectoare tehnice, există adesea necesitatea de a accesa de la distanță mașini și echipamente aflate la mare distanță de locul în care doriți să le controlați. De exemplu, un producător de generatoare dorește să aibă acces permanent la starea mașinilor pe care le deservește sau le închiriază, de exemplu, pentru a ști la ce nivel se află consumul de energie, dacă nivelul de combustibil este prea scăzut etc....

Un alt exemplu ar putea fi dorința de a accesa de la distanță un PLC pentru a-l reprograma, pentru a-i citi starea de I/O sau pentru a-i comanda ieșirile. Uneori este nevoie, de asemenea, de monitorizarea de la distanță a parametrilor instalației la sediul central, cum ar fi datele privind cantitatea și calitatea energiei, consumul de utilități, temperatura ambientală, umiditatea. Exemplele pot fi multiplicate, dar acest articol de blog se concentrează în principal pe metodele și terminologia utilizată pentru accesarea de la distanță a mașinilor și echipamentelor prin intermediul unei rețele mobile.


Care este diferența dintre o adresă IP privată, publică fixă și publică flotantă?

Fiecare dispozitiv dintr-o rețea Ethernet are o adresă IP, care este utilizată pentru a-l identifica. Pe baza adresei IP, pachetele de date sunt trimise către dispozitivul corect, astfel încât aceasta trebuie să fie unică în subrețea. Adresele IP pot fi împărțite în private și publice. Cele private sunt utilizate numai în rețelele locale, de exemplu, în rețelele LAN casnice, și nu pot fi folosite pentru a se conecta la un dispozitiv din altă subrețea. Deoarece se repetă în diferite rețele, ele nu identifică un dispozitiv în mod absolut, ca o adresă IP fixă. Prin urmare, pentru comunicarea WAN, acestea sunt vizibile sub adresa IP publică a routerului care le oferă acces la internet. Această tehnică, adică transformarea unei adrese sursă într-o altă adresă, se numește NAT (Network Address Translation) sau, mai exact, SNAT (source NAT).

Există, de asemenea, o altă variantă a traducerii de adrese, și anume DNAT, adică înlocuirea adresei de destinație într-un pachet IP, care este denumită în mod obișnuit redirecționare de port. Mai târziu, în această postare, voi descrie mai în detaliu ce presupune această tehnică.


Ce este DynDNS?

Furnizorii de acces la internet alocă adesea o adresă IP publică, dar dinamică, pentru utilizatorii standard. Implicația este că această adresă se schimbă din când în când, ceea ce face dificilă accesarea de la distanță a unui astfel de router sau a unei sub-rețele, deoarece noua adresă este aleatorie. Soluția este DynDNS, sau Serviciul dinamic de nume de domeniu.


Cum funcționează DNS pe scurt

Atunci când scriem http://example.com sau orice altă adresă de domeniu în browser, computerul nostru trimite mai întâi o interogare către serverul DNS, "Ce adresă IP are domeniul http://example.com", iar apoi primim un răspuns cu o adresă IP specifică. De aici știe la ce adresă IP trebuie să se conecteze. Cu DynDNS folosind numele de domeniu, putem ajunge la dispozitiv fără a cunoaște adresa IP reală a acestuia. Desigur, această funcție trebuie să fie susținută de dispozitivul în cauză, cum ar fi un router de acces sau un alt dispozitiv din rețeaua locală. Mai este însă un pas de făcut pentru a ajunge la dispozitivul de la distanță. Aceasta este pentru a activa redirecționarea porturilor - Port Forwarding, după cum se discută mai jos.


Port Forwarding - redirecționarea porturilor

Prima, cea mai populară și cea mai simplă modalitate de a ajunge la un dispozitiv la distanță ascuns în spatele unui router este de fapt redirecționarea porturilor sau DNAT. Acest lucru diferă ușor în funcție de router, dar, în general, o astfel de redirecționare a unui singur port trebuie să conțină cel puțin mai mulți parametri:

  • Portul public (pe partea de internet) pe care routerul ascultă, de unde trebuie redirecționat traficul,
  • Tipul acestui port: TCP sau UDP,
  • Adresa IP locală (privată) către care urmează să fie redirecționat traficul,
  • Portul TCP sau UDP pe care ascultă acest dispozitiv local.

De asemenea, trebuie să nu uitați să nu utilizați un port TCP public pe care un serviciu este deja ascultat. Este o bună practică să nu folosiți porturi între 0 și 1000, așa-numitele porturi cunoscute. Mai există o condiție suplimentară: pentru a accesa un astfel de dispozitiv, acesta trebuie să aibă parametrul Gateway setat la adresa IP locală a routerului. Acest lucru este necesar pentru o conexiune TCP, astfel încât dispozitivul să "știe" unde să trimită pachetele la adresele din afara rețelei locale.


Ce este un APN?

Atunci când aveți un router mobil, principiul este același ca și în cazul unui router standard. Aveți nevoie de o adresă IP publică fixă sau flotantă pentru a-l accesa de la distanță. Cu toate acestea, majoritatea cartelelor SIM au fie o adresă IP privată, fie o adresă IP publică flotantă cu acces extern dezactivat (WAN). Problema se rezolvă prin achiziționarea unei cartele SIM cu o adresă IP fixă sau flotantă. Pentru a configura un astfel de router, este de obicei suficient să introduceți în configurație APN-ul primit de la operator; uneori, pentru autentificare, se utilizează și un nume de utilizator și o parolă. Atunci când vă abonați la un serviciu de adrese IP fixe, este de obicei necesar să introduceți un alt APN decât cel implicit. APN (Access Point Name) este numele punctului de acces (router) care intermediază între WAN și rețelele GSM, GPRS, 3G, 4G. Voi descrie mai în detaliu ce este un APN în următoarele părți ale seriei.

Exemplu de configurare: 

Avem deja toate piesele de puzzle necesare! Acum tot ce trebuie să facem este să configurăm și să conectăm totul. În testul de acces de la distanță, voi folosi analizorul de calitate a energiei UMG 509 ca dispozitiv pe care vreau să îl accesez de la distanță, iar gateway-ul celular OnCell G3150A-LTE, care acționează similar unui router și va media comunicația, sub topologie:

Modemul OnCell are o adresă IP publică permanentă. Acesta împarte conexiunea la internet cu analizorul de energie UMG 509. În ceea ce privește configurația, în OnCell a fost introdus un APN pentru a-i permite să obțină o adresă IP publică permanentă și a fost adăugată o regulă pentru a redirecționa traficul de la portul TCP 8080 către adresa IP locală a UMG 509 și portul 80. Aceasta corespunde serverului web al acestuia. Mai jos sunt capturi de ecran ale consolei web a gateway-ului:

Introducem adresa IP publică și, după două puncte, portul TCP pe care l-am desemnat în redirecționare, adică: 178.183.abc.xyz:8080 și vom avea acces la analizatorul de energie:


Practici de securitate cibernetică la final...

Nu uitați să fiți atenți și să setați o parolă puternică pentru dispozitivele pe care doriți să le partajați în acest mod, deoarece acestea devin automat accesibile public pentru oricine din rețea care cunoaște adresa IP și portul public. Actualizați întotdeauna firmware-ul pe orice dispozitiv de rețea, și cu atât mai mult pe unul care este accesibil public pe WAN. Cel mai sigur este să folosiți redirecționarea porturilor pentru dispozitive "read-only", adică dispozitive în care clientul nu poate modifica setările etc....

Următorul articol din această serie va fi publicat în curând, așa că vă invit să urmăriți cu regularitate blogul Elmark Automation.