Последние статьи
ПЛК210
Simatic IPC477E
Настройка частотного преобразователя LENZE
Программирование Beckhoff
Авто для ООО
Программирование контроллеров ОВЕН
Wiencloud
SIMBI-10
RS-485 Modbus RTU
Протокол KNX

VPN тоннель для удаленного соединения

В данной статье попробую подробно, пошагово описать те шаги, которые требуются для настройки двух роутеров Mikrotik hAPac2 по протоколу L2TP, а заодно для себя создам памятку как подключить такой туннель к ПЛК210 CS SP14 по прошествии времени.

Сам не являюсь каким-то гуру по сетевым технологиям и допускаю что допустил ошибку в описании.

Если у Вас не получится впн подключить, стучитесь, постараюсь помочь.

VPN туннель хорошо подходит для тех случаев, когда держать на объекте компьютер для удаленного доступа небезопасно и избыточно, да и получается значительная экономия трафика.

Проблематика настройки удаленного доступа по VPN туннелю , удаленному контроллеру состоит одновременно с несколькими особенностями:

1. Общие правила соединения двух узлов (site-to-site) может по ряду признаков отличаться. Если у одних пользователей работает, у вас может и не заработать. Тонкости скрыты в деталях.

2. Задачи от задачи отличаются и один совет может совершенно не годиться для другого случая

3. В Ютубе изобилие подобных роликов по подключениям, но очень сложно и смотреть и повторять + то что раскручено, то обычно уже достаточно устарело.

Так по незнанию можно потратить много времени и поиск стоящих статей, настроенных на практическое применение, достаточно сложно. Потом даже найдя стоящую статью и все равно, в итоге обратиться к знающим специалистам, так как особенностей масса.

Какая задача стояла у меня:

Был для объекта закуплен контроллер ПЛК210-01. Он стоит глубоко в подземных казематах теплового пункта большой многоэтажки. Объект это около 1000 сигналов ввода-вывода и контролировать правильность программного кода не представлялось разумным ни через Anydesk/TeamViwer, ни тем более частыми поездками по вызову. Соответственно нужно как-то контролировать процесс удаленно и корректировать код незамедлительно, если найден недостаток.

Что было предпринято:

1. В том месте где я больше всего нахожусь в г.Москве был арендован статический IP адрес Он не секретен, можете к нему подключаться и программировать. Там подключен второй ПЛК210 от ОВЕН (89.23.36.110)

2. Уже был ранее приобретен роутер MIKROTIK hAP ac2 и оставалось приобрести второй, чтобы организовать VPN туннель с шифрованием. Как удачно, что они дешевеют год из года, первый стоил аж 5500р, этот взял за 4680, на Авито можно купить аналогичный примерно за 2т.р

3. Был заранее выбран протокол L2TP, так как он достаточно защищен и достаточно прост в настройках

4. Оба роутера имеют аналогичные прошивки, в клиентском стоит 6.48.4

В соответствии со структурной схемой видно, что первый роутер Mikrotik (сервер) откуда ведется программирование (GW1), будет настроен на роль L2TP Server + IPSec, со следующими настройками:

Внешний IP (WAN): 89.23.36.110 (статический IP адрес);

IP-адрес VPN Server: 172.19.19.1;

Адрес роутера в LAN сети: 192.168.1.254.

MIkrotik в том месте, где будет подключаться ПЛК210 (GW2) будет являться VPN-клиентом с настройками:

Внешний IP (WAN): 192.168.8.1 (адрес того что дает модем с симкартой Tele2) модем LTE HUAWEI (перепрошит);

IP-адрес VPN Client: 172.19.19.2;

Адрес роутера в LAN сети: 192.168.11.253.

Так как подключить впн?

Настраиваем серверный роутер (статический IP)

1. Создаем пользователя Secret. Указываем адреса VPN Server + VPN Client 172.19.19.1(2)

PPT-Secrets(+)

2. Создаем интерфейс PPT, в котором указываем пользователя Secret

3. Включаем L2TP Server

4. Устанавливаем три правила для Firewall

Серверную часть мы настроили, переходим далее к настройке клиентской части (роутера)

Настраиваем роутер клиента

1. Создаем новый профиль пользователя, оставляем дефолтные профили без изменения.

Добавляем протокол

Выставляем галку YES на строке Use Encription

2. Добавляем интерфейс L2TP Client в PPP

Если появилась у строки клиентского сервиса буква R – значит все настроено.

Для исключения проблемы Path MTU Discovering Black Hole связанной с большой фрагментацией пакетов (плохой канал связи, много hops) необходимо сделать следующее:

В настройках сервера занизить Max. MTU до 1350-1300. Установить MRRU в 1600

В настройках клиента также указать MRRU 1600

Считаю правильным решение дополнить вот чем: чтоб Вы смогли с серверной части через туннель заходить на клиентский роутер установите правило для 8291 порта

Важно: для того, чтобы обеспечить прохождение сигналов из одной сети в другую из внешней локальной сети нужно прописать маршрут на двух роутерах. Иначе все это не будет работать и пинг будет проходить только с терминала самого роутера.

В начале проверяете пинг из терминалов обоих роутеров к друг другу, затем проверяете работоспособность прохождения пакетов из одной сети в другую.

Желательно все это настраивать, когда у Вас в руках находятся оба роутера