Tworzenie tunelu OpenVPN (Open Virtual Private Network) polega na połączeniu dwóch lub więcej punktów w odrębnych lokalizacjach sieciowych przez sieć publiczną z wykorzystaniem zabezpieczeń takich jak szyfrowanie. Wykorzystując powyższy protokół w łatwy sposób uzyskujemy sytuację, w której komunikujące się urządzenia widzą się jak by były spięte jedną prywatną siecią, którą można określić jako zaufaną. Komunikacja oparta jest o architekturę klient-server. Dodatkowym plusem jest możliwość bezpośredniego połączenia urządzeń umieszczonych za NATem, bez jego dodatkowej konfiguracji. Za bezpieczeństwo odpowiada kilka metod szyfrowania opartych na kluczach szyfrujących, certyfikatach lub identyfikacji za pomocą nazwy użytkownika oraz hasła.

Open VPN wykorzystuje komunikację poprzez port 1194, który w nowszych wersjach oprogramowania określany jest jako domyślny. Protokoł wykorzystuje dwa typu interfejsów sieciowych TUN oraz TAP, które pozwalają na stworzenie tunelu IP (TUN) opartych o 3 warstwę modelu ISO/OSI albo drugą warstwę (TAP), który jest w stanie przesyłać dowolny typ danych. OpenVPN bazuje na popularnych protokołach sieciowych TCP i UDP i jest alternatywą do protokołu IPsec.

Rys. 1.1: Przykładowy schemat połączenia z wykorzystaniem tunelu VPN.

1.1. Ograniczenia w przemysłowych routerach Advantech:

· Przemysłowe routery Advantech pozwalają na stworzenie do 4 równoległych tuneli VPN (można tę funkcjonalność rozszerzyć)

· Routery wspierają jedynie adapter TUN oparty na 3 warstwie komunikacji modelu ISO/OSI

· Routery Advantech nie mogą być używane jako serwery w trybie pracy określanym jako multiclient (wiele klientów, jeden serwer)

2. Konfiguracja tunelu OpenVPN

Tunel OpenVPN pozwala na zabezpieczone połączenie czterech podsieci lokalnych z drugą siecią. Aby utworzyć tunel OpenVPN po zalogowaniu do routera należy przejść do zakładki „Configuration” widocznej w drzewie po lewej stronie. Menu w tym momencie powinno rozszerzyć się o opcję konfiguracji 4 tuneli: „1st Tunnel, 2nd Tunnel, 3rd Tunnel, 4th Tunnel”. W tabeli poniżej przedstawiony jest opis możliwych do skonfigurowania parametrów.

Różnicą pomiędzy starszymi routerami przemysłowymi z serii v2 (UR5i v2, LR77 v2), a nowszymi z serii v3 (ICR-3231, SmartStart, SmartMotion, SmartFlex, ICR-3831) jest dodatkowa obsług tuneli IPv6 w drugiej kategorii.

Wszystkie zmiany zostaną zatwierdzone po wciśnięciu przycisku „Apply”.

Wskazówki/często popełniane błędy:

· Routery, które są klientami muszą mieć wypełnione pole Remote IP Address, gdzie powinien zostać wstawiony publiczny adres IP serwera.

· W routerach, które są serwerem zalecane jest nie wypełnianie pola Remote IP Adress.

· Połączenie 1-1 między dwoma routerami musi być tworzone w architekturze Klient-Serwer.

· Zalecane jest ustawienie parametrów Ping Interval oraz Ping Timeout, ponieważ pozwolą one na zrestartowanie i ponowną próbę połączenia w przypadku wystąpienia błędów.

Rys. 2.1: Przykładowe parametry konfiguracyjne

3. Router po obu stronach tunelu VPN

Schemat zamieszczony poniżej przedstawia sytuację, gdzie tunel OpenVPN tworzony jest w oparciu o dwa przemysłowe routery Advantech. W takiej konfiguracji serwer musi posiadać publiczny adres IP.

Rys. 3.1: Tunel z wykorzystaniem dwóch przemysłowych routerów Advantech w architekturze Klient-Serwer

3.1. Tunel VPN bez poświadczeń

Konfiguracja pierwszego routera Advantech (Serwera):

Parametr	Wartość
Remote Subnet	192.168.3.0
Remote Subnet Mask	255.255.255.0
Local Interface IP Address	172.16.0.101
Remote Interface IP Address	172.16.0.102

Konfiguracja drugiego routera Advantech (Klienta):

Parametr	Wartość
Remote IP Address	10.0.2.36
Remote Subnet	192.168.1.0
Remote Subnet Mask	255.255.255.0
Local Interface IP Address	172.16.0.102
Remote Interface IP Address	172.16.0.101

Rys. 3.2: Konfiguracja pierwszego z przemysłowych routerów Advantech (serwera).

Wskazówka: Konfiguracja drugiego z przemysłowych routerów Advantech pracującego w trybie klienta jest niemal identyczna. Różnice polegają na odwrócenie parametrów Local oraz Remote Interface IP Adress, podmianie Remonte Subnet oraz dodaniu Remote IP Adress, czyli publicznego adresu IP serwera. Gdy parametr NAT Rules jest aktywny wszystkie reguły utworzone w zakładce NAT są egzekwowane w tunelu OpenVPN.

Po uzyskaniu połącznia OpenVPN w sekcji Network Status wybieranej z drzewa po lewej stronie możemy sprawdzić aktualną konfigurację interfejsu tun routera.

Rys. 3.3: Aktualne parametry konfiguracyjne interfejsu tun.

W celu diagnostyki nawiązanego połączenia przydatna może okazać się zakładka System Log, gdzie widoczny jest aktualny status. W przypadku poprawnego połączenia powinna pojawić się informacja Inicialization Sequence Completed.

Rys. 3.4: Zakładka System Log pokazująca aktualny status połączenia.

3.2. Tunel OpenVPN z poświadczeniami pre-shared secret

Konfiguracja pierwszego routera Advantech (Serwera):

Parametr	Wartość
Remote Subnet	192.168.3.0
Remote Subnet Mask	255.255.255.0
Local Interface IP Address	172.16.0.101
Remote Interface IP Address	172.16.0.102
Authenticate Mode	pre-shared secret
Pre-shared Secret	klucz generowany dla obu routerów

Konfiguracja drugiego routera Advantech (Klienta):

Parametr	Wartość
Remote IP Address	10.0.2.36
Remote Subnet	192.168.1.0
Remote Subnet Mask	255.255.255.0
Local Interface IP Address	172.16.0.102
Remote Interface IP Address	172.16.0.101
Authenticate Mode	pre-shared secret
Pre-shared Secret	klucz generowany dla obu routerów

Rys. 3.5: Konfiguracja pierwszego z przemysłowych routerów Advantech (serwera).

Po uzyskaniu połącznia OpenVPN w sekcji Network Status wybieranej z drzewa po lewej stronie możemy sprawdzić aktualną konfigurację interfejsu tun routera.

Rys. 3.6: Aktualne parametry konfiguracyjne interfejsu tun.

Rys. 3.7: Zakładka System Log pokazująca aktualny status połączenia.

3.3. Tunel OpenVPN z poświadczeniami użytkownik/hasło

Konfiguracja pierwszego routera Advantech (Serwera):

Parametr	Wartość
Remote Subnet	192.168.3.0
Remote Subnet Mask	255.255.255.0
Authenticate Mode	username/password
CA Certificate	certyfikat wygenerowany na serwerze VPN
Username	użytkownik przypisany na serwerze VPN
Password	hasło przypisane na serwerze VPN

Konfiguracja drugiego routera Advantech (Klienta):

Parametr	Wartość
Remote IP Address	10.0.2.36
Remote Subnet	192.168.3.0
Remote Subnet Mask	255.255.255.0
Authenticate Mode	username/password
CA Certificate	certyfikat wygenerowany na serwerze VPN
Username	użytkownik przypisany na serwerze VPN
Password	hasło przypisane na serwerze VPN

Rys. 3.8: Konfiguracja pierwszego z przemysłowych routerów Advantech (serwera).

Po uzyskaniu połącznia OpenVPN w sekcji Network Status wybieranej z drzewa po lewej stronie możemy sprawdzić aktualną konfigurację interfejsu tun routera.

Rys. 3.9: Aktualne parametry konfiguracyjne interfejsu tun.

Rys. 3.10: Zakładka System Log pokazująca aktualny status połączenia.

3.4. Tunel Open VPN z poświadczeniem certyfikatem X.509

Konfiguracja pierwszego routera Advantech (Serwera):

Parametr	Wartość
Remote Subnet	192.168.3.0
Remote Subnet Mask	255.255.255.0
Local Interface IP Address	172.16.0.101
Remote Interface IP Address	172.16.0.102
Authenticate Mode	X.509 certificate (server)
CA Certificate	Wygenerowany certyfikat z serwera VPN
DH Parameters	Protokół Diffle-Hellmana do wymiany klucza
Local Certificate	Lokalny certyfikat przypisany przez serwer VPN
Local Private Key	Lokalny klucz prywatny przypisany przez serwer VPN

Konfiguracja drugiego routera Advantech (Klienta):

Parametr	Wartość
Remote IP Address	10.0.2.36
Remote Subnet	192.168.1.0
Remote Subnet Mask	255.255.255.0
Local Interface IP Address	172.16.0.102
Remote Interface IP Address	172.16.0.101
Authenticate Mode	X.509 certificate (server)
CA Certificate	Wygenerowany certyfikat z serwera VPN
Local Certificate	Lokalny certyfikat przypisany przez serwer VPN
Local Private Key	Lokalny klucz prywatny przypisany przez serwer VPN

Rys. 3.11: Konfiguracja pierwszego z przemysłowych routerów Advantech (serwera)

Wskazówka: Konfiguracja drugiexf

Skontaktuj się ze specjalistą Elmark

Masz pytania? Potrzebujesz porady? Zadzwoń lub napisz do nas!

Skontaktuj się z nami

elmark@elmark.com.pl +48 22 541 84 60

Formularz kontaktowy