Router EBW-E100, varianta s LAN tedy síťovým připojením. Jeden port do internetu, druhý do výrobní sítě s PLC a dalšími zařízeními na které chceme mít dálkový přístup. Připojení samozřejmě přes VPN.
Jak to celé funguje, si popíšeme na tomto obrázku. Náš PC, ze kterého chceme přistoupit třeba na PLC LOGO!, má instalovánu službu VPN, přes kterou je připojen na internetový server INSYS. Na něm běží služby pro připojení a správu routeru EBW s definovanými účastníky v tovární síti. Router EBW je umístěn u zařízení (PLC) zákazníka. Za routerem EBW můžeme mít různé účastníky, například i IP kamery. Všechny účastníky si definujeme ve službě icom Connectivity Suite na serveru INSYS.
Můžeme se tedy dálkově připojit na server INSYS, router EBW a definovaného účastníka.
Definovaný účastník pro dálkovou správu je v našem případě malé PLC LOGO!, které jsme vytáhli ze šuplíku.
INSYS pro VPN spojení používá volně dostupnou službu OpenVPN. Instalační soubor stáhneme třeba na Slunečnici tady.
Musíme dát službě OpenVPN nějak vědět, kam se připojovat. Na to jsme si na serveru INSYS vygenerovali konfigurační soubor, který kopírujeme do patřičné složky.
Ikonka počítače se zámkem přes pravé tlačítko myši sestaví připojení z našeho PC na INSYS server. Zatím jen na INSYS server, viz předchozí principiální obrázek.
Jinak to nejde, tohle VPN spojení nám musí fungovat, ikonka po připojení zezelená a vypíše IP adresu.
Následně se na uvedené adrese v internetovém prohlížeči připojíme na INSYS server.
Na serveru si nadefinujeme účastníky a přiřadíme jim různá práva, pozorovatel nebo administrátor. Všimněte si posledního sloupečku 2FA.
Klikněte na obrázek pro zvětšení
Jedná se o dvou-faktorové ověření při přihlášení. Podobně jako třeba v bance. Ale tady použijeme mobilní telefon a aplikaci. Ukážeme si za chvilku. Na tuhle novou bezpečnostní funkci jsme byli zvědaví.
Ještě zbývá nadefinovat nějaké zařízení, tedy náš EBW router a naše PC. To jsou ty zařízení, které jsou nyní on-line.
Tady po kliknutí na ikonku downloadu stáhneme zmiňovaný konfigurační soubor pro sestavení VPN spojení do našeho PC.
A jdeme na vyzkoušení a ukázku přihlášení dvou-faktorovým ověřením. U uživatele kde tohle požadujeme, tuto volbu zašrtneme.
Klikněte na obrázek pro zvětšení
.
Nainstalujeme do mobilu bezpečnostní aplikaci pro generování přístupových kódů, třeba tuhle zde. Vše funguje i v případě použití jiných utilit, které dělají stejnou službu, například tady.
A nyní musíme nějak tyto zařízení "spárovat". U patřičného účtu spustíme setup pro dvou-faktorové ověření. Je to velmi jednoduché, i když se to občas jeví jinak.
Objeví se nám QR kód a ten naskenujeme přímo z instalované bezpečnostní aplikace. A to je vše.
Při dalším přihlášení vyplníme údaje, ale ty nám stačit nebudou.
Přihlašování požaduje další heslo, které vygenerujeme instalovanou aplikací. Stačí spustit ICS a ihned se nám generují časově omezená hesla.
Po zadání hesla do přihlašovacích údajů serveru máme přístup. Je to fakt jednoduché.
Koukněte na krátké praktické video. Two minutes video. :)
https://www.youtube.com/watch?v=0O5PcBpYspg&feature=youtube.
Závěr:
Příště si ukážeme nové a zajímavé funkce na serveru INSYS, například připojení přes proxy bez VPN instalace a další.
Pokračování v pondělí 13.6.
Jaroslav Blažek
Doplňující odkazy k článku:
INSYS MICROELECTRONICS CZ, s.r.o.
Staroplzenecká 177
CZ-326 00 Letkov
Česká republika
Phone: +420 607 073 069
INSYS Plzeň hlavní strana, najdete zde.
Routery vzdálené správy jsou tady.
