[syoma 1]

Привет всем.

Я в принципе в эту ветку не часто заглядываю, хотя на Плис+Linux+Ethernet мы девайсы делаем и тьфу-тьфу Ethernet пашет без проблем.

В общем задача можно сказать почти как с маршрутками, но есть пара отличий.

Во первых - у нас вместо маршрутки - изолированная сеть на Ethernet - порядка сотни Embedded устройств с Modbus over TCP/FTP/Webserver, плюс ПЛК и пользовательский интерфейс на промышленном ПК с Windows XP и SCADA.

Задача заключается в том, чтобы хотя бы на период ввода в эксплуатацию иметь возможность удаленного считывания параметров, логов, программирования и управления через тот-же Remote Desktop. То есть как бы удаленно залезть в сетку.

Так как наша система часто устанавливается вдалеке от цивилизации - подстанции, заводы по всему миру, то решение с CDMA/GPRS/EDGE - я считаю самым приемлемым и легко реализуемым. По крайней мере с покрытием не так уж плохо и скорость будет достаточна.

Второе отличие в том, что прочитав инфу обо всех этих девайсах и на собственном опыте, я понял, что надо иметь сервер с фиксированным IP, чтобы роутер, установленный на объекте мог к нему подключаться. Но у меня проблема в том, что пользователь работает в компании, и не имеет открытого IP адреса, плюс еще почти все порты заблокированы (типа скайпа и аськи) и компания тоже не хочет заморачиваться с выделением сервера под это дело. Короче гибло в этом направлении.

С другой стороны выделение фиксированного IP роутеру на объекте связано и с финансовыми трудностями (я не знаю возможно ли это с GSM провайдерами) и с защищенностью, как здесь уже заметили. И насколько я понял из статей - GSM сеть представляет уже сама по себе фаервол, то есть даже зная IP адрес моего роутера, я к нему не смогу подключиться.

Естественно VPN с ключем должен быть.

 

Подскажите как быть - хочется такую штуку иметь, и даже через пару недель я такой девайс для экспериментов приобрету,(вот такой пока хочу http://www.insys-tec.de/en/content/product...tch/moros-gprs/ ) но я пока не пойму как организовать связь.

Можно ли например сделать(легко или существуют) сервер, к которому мой роутер будет подключаться, и к которому я тоже мог бы подключиться и серваер бы перенаправлял мои запросы на роутер. Может какое-то другое решение? На крайняк я задумываюсь о телефоне и модеме, но блин же это стоить будет огого.

 

Спасибо.

[Andy Great 0]

Поставить самому себе такой сервер с выделенным IP, клиент и роутер на объекте будут заходить на него через туннель (например). Или арендовать где-то. Опять же, фиксированный IP (не путать с "серым") не нужен, если использовать ddns (практически любая "мыльница" поддерживает).

[AlexandrY 3]

Если у вас стоит в сети дивайсов нормальный PC то зачем вам еще покупать дополнительные примочки типа роутеров Ethernet-GPRS?

Подключаете напрямую GSM модем к PC и все.

Сам PC с Win XP поддерживает и NAT и VPN и все прочие нужные сервисы.

Кстати такая прога есть - TeamViewer

Делает Remote Desktop в обе стороны и пробивает любые файрволы и NAT-ы даже если они с обоих концов соединения стоят.

 

Во первых - у нас вместо маршрутки - изолированная сеть на Ethernet - порядка сотни Embedded устройств с Modbus over TCP/FTP/Webserver, плюс ПЛК и пользовательский интерфейс на промышленном ПК с Windows XP и SCADA.

[syoma 1]

Вот интересно: а если GPRS/CDMA/EDGE Роутер поддерживает DynDNS и его настроить - то к нему можно будет достучаться из инета или то, что тут описывают, правда?

http://www.insys-tec.de/en/en/availability/

 

 

Подключаете напрямую GSM модем к PC и все.

PC - специально для управления предназначен - на нем все устанавливать а потом, когда сервис не нужен будет - удалять я не хочу.

Я хочу так: коробочку поставил, настроил - работает. Потом, если не нужно, сказал, кому надо - коробочку сняли и по почте отправили.

[Andy Great 0]

Кстати такая прога есть - TeamViewer

Делает Remote Desktop в обе стороны и пробивает любые файрволы и NAT-ы даже если они с обоих концов соединения стоят.

Если можно, вкратце про технологию. Я так понял, оно не требует третьестороннего обрудования. ЕМНИП, такое без него невозможно, при правильной реализации файрволла, конечно.

[AlexandrY 3]

Конечно здесь ничего нового, чтобы пробить файрволы с обоих концов нужен третий участник в открытом интернете.

У меня например TeamViewer использует сервер ds87-230-73-23.dedicated.hosteurope.de

Они этого и не скрывают.

Правда обмен с сервером зашифрован на уровне TCP, но он короткий, а потом прямая сессия между компами идет по UDP.

В проге можно и отключить (тогда ищите на одном из концов публичный IP ;) ) и задать использование другого сервера для TeamViewer

 

 

Если можно, вкратце про технологию. Я так понял, оно не требует третьестороннего обрудования. ЕМНИП, такое без него невозможно, при правильной реализации файрволла, конечно.

 

 

С помощью примочки от insys-tec вы не делаете вашу внутреннюю сеть полностью доступной из открытого инета.

Доступ может быть осуществлен только с компов с публичным IP и установленным драйвером от insys-tec

Т.е. целый класс дивайсов как: смартфоны, мобилы, роутеры третьих фирм и embedded дивайсы третьих фирм

к вашей сети через роутер insys-tec не достучатся.

 

Проблема в том, что insys забазировался на проприетарной сборке OpenVPN (вряд ли какая "мыльница" его подхватит), а не взял за основу стандартные протоколы VPN поддерживаемые Microsoft-ом (а вот это все мыльницы имеют).

Подводный камнем может оказаться и то, что местные операторы могут не открыть канал для OpenVPN в то время как протокол VPN через PPTP может вполне работать.

При этом удаленно вы проблему даже не идентифицируете использую функциональность роутера insys-tec.

 

 

Но это лучше обсуждать в теме GSM модемов и связи, поскольку там больше людей вам расскажут о прецедентах в операторских сетях с пропусканием разных протоколов.

DynDNS тут еще цветочками покажется. ;)

 

Вот интересно: а если GPRS/CDMA/EDGE Роутер поддерживает DynDNS и его настроить - то к нему можно будет достучаться из инета или то, что тут описывают, правда?

http://www.insys-tec.de/en/en/availability/

 

PC - специально для управления предназначен - на нем все устанавливать а потом, когда сервис не нужен будет - удалять я не хочу.

Я хочу так: коробочку поставил, настроил - работает. Потом, если не нужно, сказал, кому надо - коробочку сняли и по почте отправили.

[Anato 0]

Подобную проблему пытался решить с помощью Hamachi, все хорошо, работало, но вирусы замучили. Пришлось отказаться. Второй месяц тестирую иной принцип. Купил место под сайт за 120руб. в месяц 1Gb и из 8 точек из разных городов сбрасываю-забираю файлы по FTP. Все работает в автономе по таймеру. Способ подключения к интернет не имеет значения, лишь бы он был в принципе. У меня используются 2 выделенки, 3 GSM модема, 3 ADSL. Пока устраивает.

[AlexandrY 3]

Решение с FTP вообще очень кривое, и маловероятно, что так уж все по таймеру как часы на FTP ложится и забирается.

Особенно в режиме upload через GSM.

Допускаю возможность таких операций вручную на достаточно малых файлах (до 200 Кб) с большими задержками и не одновременно.

Здесь ко всему начинаются траблы самих фришных FTP серваков.

Например популярный на дешевых хостингах FileZilla Server может такие финты выкинуть на пассивных соединениях что мало не покажется.

 

Подобную проблему пытался решить с помощью Hamachi, все хорошо, работало, но вирусы замучили. Пришлось отказаться. Второй месяц тестирую иной принцип. Купил место под сайт за 120руб. в месяц 1Gb и из 8 точек из разных городов сбрасываю-забираю файлы по FTP. Все работает в автономе по таймеру. Способ подключения к интернет не имеет значения, лишь бы он был в принципе. У меня используются 2 выделенки, 3 GSM модема, 3 ADSL. Пока устраивает.

[syoma 1]

Короче сервак с белым IP я в принципе надыбал. В принципе ж простого IPSec + MS-CHAP с ключем должно быть достаточно?

По крайней мере с XP - я спокойно к нему приконнектился, после простой настройки.

Кто-нибудь теперь может подсказать - какую коробочку лучше взять для CDMA/GPRS, чтобы работала с таким типом VPN?

[AlexandrY 3]

Хорошая статейка про транспортные проблемы виртуальных тоннелей, и OpenVPN упоминается.

http://barabanov.ru/arts/tcp/Tcp_over_tcp_..._so_bad-web.pdf

 

А IPSec это ж противоположность OpenVPN. Не перепутали ли что-то? ;)

 

Короче сервак с белым IP я в принципе надыбал. В принципе ж простого IPSec + MS-CHAP с ключем должно быть достаточно?

По крайней мере с XP - я спокойно к нему приконнектился, после простой настройки.

Кто-нибудь теперь может подсказать - какую коробочку лучше взять для CDMA/GPRS, чтобы работала с таким типом VPN?

[Andy Great 0]

По поводу статьи: на рис.2 изображено дублирование пакетов в верхнем TCP. А я считал, что порядок доставки пакетов гарантирован TCP. Соответственно, 5й и 6й пакеты пройдут на выход нижнего TCP только после ретрансмиссии 4го. Я что-то не так понял?

[syoma 1]

А IPSec это ж противоположность OpenVPN. Не перепутали ли что-то?

Помоему нет - IPSec это ж вроде протокол для создания туннеля между моим шлюзом и сервером и OpenVPN - тоже самое, но на открытой платформе. Товарищ AlexandrY меня испугал, что OpenVPN - это геморой, который нигде не используется. Плюс у меня прикол, что сервер как таковой - это не комп, а аппаратный шлюз, в котором создание туннелей с IPSec заложено аппаратно и делается за 5 минут. Вот я и решил проверить. В итоге создание VPN с шифрованием IPSec и еще чем-то (как было написано в мануале) включая настройку Винды на клиенте заняло 10 мин и работает с любой точки Инета. Осталось только девайс найти.

 

А IPSec это ж противоположность OpenVPN. Не перепутали ли что-то?

Помоему нет - IPSec это ж вроде протокол для создания туннеля между моим шлюзом и сервером и OpenVPN - тоже самое, но на открытой платформе. Товарищ AlexandrY меня испугал, что OpenVPN - это геморой, который нигде не используется. Плюс у меня прикол, что сервер как таковой - это не комп, а аппаратный шлюз, в котором создание туннелей с IPSec заложено аппаратно и делается за 5 минут. Вот я и решил проверить. В итоге создание VPN с шифрованием IPSec и еще чем-то (как было написано в мануале) включая настройку Винды на клиенте заняло 10 мин и работает с любой точки Инета. Осталось только девайс найти.