unanswered Configurazioni base Router 3G/4G LTE

  • marcom
  • Avatar di marcom Autore della discussione
  • Offline
Di più
13/03/2019 14:47 - 13/03/2019 15:11 #1625 da marcom
Configurazioni base Router 3G/4G LTE è stato creato da marcom
I modelli router Inhand Netowrks si dividono in tre categorie principali
  • InRouter IR6XX
  • InRouter IR7XX
  • InRouter IR9XX

Si tratta di un router 3G/4G LTE industriali M2M (Machine-To-Machine) con caratteristiche avanzate per utilizzo in ambienti gravosi per condizioni ambientali e temperatura. Il router possiede tutte le certificazioni europee necessarie ed è stato pensato espressamente per il mercato europeo. In particolare:
  • Range Temperatura Esteso: -20°C /+ 70°C
  • Consumi ridotti ( <3,6 W, standby 1,4 W) per consentire alimentazione da batteria o da pannello solare
  • Disponibile versione con una oppure con quattro porte Ethernet.
  • Possibilità di tenere linea sempre aperta o di aprirla e chiuderla tramite ricezione SMS
  • REBOOT del router tramite l'invio di un SMS
  • E' possibile utilizzare VPN IPSEC, oppure abilitarlo come OpenVPN SERVER/CLIENT.
  • Seriale RS232 a bordo (485 disponibile come opzione):viene fornito software per utilizzo come seriale remota in Internet.
  • Conversione automatica Modbus TCP <> Modbus RTU con una semplicissima configurazione.
  • E' possibile impostare il router affinché invii i propri log ad un Syslog server remoto.
  • Supporto Firewall, NAT, DMZ, VRRP
  • Ideale per essere configurato come OpenVPN Client nell'utilizzo per collegamento remoto ad impianti di telecontrollo.


Il prodotto è indicato per svariati utilizzi alcune delle applicazioni già realizzate sono: monitoraggio impianti produzione energia, monitoraggio PLC e SCADA remoti, collegamento POS stazioni benzina, collegamento ATM in luoghi non raggiungibili da ADSL, collegamento Internet per cantieri o sedi provvisorie, monitoraggio contatori energia, montaggio su mezzi in movimento (taxi, pulmann), applicazioni in infopoint, videosorveglianza edifici e luoghi, collegamento a reti di sensore e stazioni meteo,impianti di depurazione e trattamento acqua, monitoraggio linee gas e olio, monitoraggio reti di teleriscaldamento, stazioni di pompaggio, sistemi di informazioni per passeggeri, monitoraggio di treni o mezzi mobili. Il modem è adatto anche per la mantenzione remota e la programmazione, ad esempio tramite STEP 7, per mezzo dell'interfaccia ad alta velocità 3G/4G.


Collegamenti Elettrici
I router InHandNetworks possono essere alimentati con una tensione continua nel range 9~48VDC.





Operatori Telefonici
Innanzitutto partiamo dall'operatore telefonico: gli unici operatori che permettono il collegamento remoto sono Tim, Wind e Vodafone. 3 e gli operatori virtuali utilizzano delle sottoreti private e non consentono perciò il collegamento da rete cellulare verso rete Ethernet (solitamente effettuato tramite utilzzo DDNS). I router sono forniti di antenna 3G/4G per un migliore utilizzo del segnale radio disponibile.


Configurazioni

Prima configurazione
Per effettuare la prima configurazione:
  • modificare i parametri della propria interfaccia di rete per renderli compatibili con quelli del router
  • collegare un cavo ethernet (non importa se diritto o incrociato) tra il router ed il proprio pc
  • aprire il proprio browser preferito (sono supportati tutti i principali browser: Internet Explorer, Mozilla Firefox o Google Chrome - ATTENZIONE: è necessario avere abilitato il supporto Javascript nelle impostazioni internet) e collegarsi all’indirizzo http://192.168.2.1
  • Utilizzare i seguenti dati per l’autenticazione
    Nome utente: adm
    Password: 123456


Dettagli della configurazione
Configurazione Dialup





Lo schema qui sopra mostra la configurazione relativa all'attivazione della connessione tramite SMS o chiamata. Importante impostare il parametro Max Idle Time = 0 in caso si voglia disconnettere il router con SMS. Nel caso tale parametro sia diverso da zero il router si disconnette automaticamente in caso di inattività per il tempo impostato nel parametro Max Idle Time, oppure all'arrivo del messaggio di disconnessione (se impostato).
Utilizzare stringhe di connessione e disconnessione con una certa complessità, per evitare utilizzi non autorizzati del router.

Il parametro Redial Interval ha diverse funzioni a seconda delle impostazioni precedenti: se è attivata la connessione su sms il parametro indica ogni quanti secondi controllare gli sms sulla sim

La spunta Show Advanced Options, permette di impostare parametri avanzati, per esperti.
L'unico parametro importante da osservare è l'impostazione del codice PIN. Si consiglia comunque di disattivare la richiesta del PIN sulla schedina SIM, onde evitare blocchi della stessa dovuti ad immissioni errate.






REBOOT del router tramite l'invio di un SMS:






Conversione automatica Modbus TCP <-> Modbus RTU con una semplicissima configurazione.






In caso di anomalie è possibile salvare il log per inviarlo via mail ai nostri tecnici. Per far questo entrare nel menu Status / Log e premere i tasti Download Log File e Download System Diagnosing Data per scaricare rispettivamente il file di log e il file di diagnostica del router.





E' inoltre possibile impostare il router affinché invii i propri log ad un Syslog server remoto (ad esempio Kiwi Syslog Server).


Funzionamento come OpenVPN Server
Nella modalità server il router gestisce fino a 4 tunnel. Tale numero può essere limitato ulteriormente nel caso di una larghezza di banda non sufficiente nella zona in cui il dispositivo server deve essere installato. Il seguente esempio mostra come configurare il router InHandNetworks per funzionare da OpenVPN Server.
  1. Assicurarsi innanzitutto di avere un indirizzo IP raggiungibile dalla rete internet (statico o simbolico tramite la configurazione DDNS)
  2. Selezionare VPN -> OpenVPN Tunnels e selezionare Add per aggiungere un nuovo tunnel






Selezionare Server





Selezionare la modalità di certificazione corretta (Pre-shared key è per il collegamento Host-to-Host, gli altri per il collegamento Network-to-Network).

Scegliamo ad esempio User/Password.





Impostare i campi vuoti con i propri parametri e riprodurre la configurazione anche lato client





Fare click su Save per salvare la configurazione.


Selezionare OpenVPN Advanced e riempire i campi vuoti a seconda delle proprie necessità.





Fare click su Apply per terminare la configurazione.



Funzionamento come OpenVPN Client
La configurazione qui descritta è la consigliata per effettuare il collegamento di impianti remoti di telecontrollo a server centrale.

Nell'esempio seguente è stata utilizzata questa configurazione per il server OpenVPN (installato su PC con Windows XP).

La configurazione della rete è la seguente:




InHandNetworks OpenVPN as Client - configurazione di rete



Configurazione dell'OpenVPN server
Trattiamo l'esempio allegato (file server.ovpn), analizzandolo riga per riga:
port 11940
proto udp

Identificano il numero della porta ed il protocollo di rete utilizzati per la comunicazione.
dev tun
dev-node tun0

La prima parte indica il metodo di connessione utilizzato: tunnel, mentre la seconda indica quale interfaccia di rete utilizzare per stabilire la connessione. In particolare il secondo parametro non è indispensabile se tra le interfacce di rete è presente una sola interfaccia tap. La direttiva sopra specificata implica che, nella finestra delle impostazioni di rete di Windows XP, ritrovi una situazione di questo genere:



server 10.9.0.0 255.255.255.0

Questo comando indica al server OpenVPN (e di conseguenza ai client) quale sottorete utilizzare per stabilire la connessione. E' molto importante che tale sottorete NON sia stata definita altrove o utilizzata da alcun PC che farà parte della VPN.
push "route 192.168.212.0 255.255.255.0"
client-to-client
client-config-dir ccd
route 192.168.3.0 255.255.255.0

Le specifiche qui sopra servono a definire, unitamente a quelle stabilite nella configurazione del gateway del PC che ospita il server OpenVPN, le tabelle di routing per il server e per i client. In particolare la prima riga indica che verrà inviata a ciascun client (push) quella regola di routing. client-to-client: impone al server ed ai client di mostrare la rete privata dietro di loro. client-config-dir ccd: indica al server di utilizzare le regole di routing presenti nella directory ccd per ciascun client configurato. All'interno della directory ccd vi sono una serie di file, uno per ciascun client configurato. tali file contengono tutti la regola del routing da applicare ai pacchetti destinati al client stesso. Nel nostro esempio:
iroute 192.168.3.0 255.255.255.0

L'ultima riga invece indica al server come comportarsi con i pacchetti provenienti dalla sua sottorete e destinati alla rete 192.168.3.0.


;ifconfig-pool-persist ipp.txt

Questo comando consente di assegnare a ciascun client un indirizzo IP fisso, salvandolo nella cache del server. (nel nostro esempio è commentata, ma basta togliere il ; iniziale per decommentarla)
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
cipher BF-CBC

Queste direttive riguardano la parte relativa alla crittografia del canale (cipher) ed al sistema di autenticazione utilizzato. In questo caso l'autenticazione è basata su certificati generati con il pacchetto aggiuntivo easy-rsa installato nella stessa directory dell'OpenVPN server. Per una spiegazione dettagliata dei passi da seguire fare riferimento alla guida ufficiale OpenVPN
comp-lzo

Abilita la compressione lzo
status openvpn-status.log
verb 4

Opzioni di log: la prima salva su file lo stato attuale delle connessioni. La seconda imposta il livello di dettaglio (max 9 - debug) del log.
persist-key
persist-tun

Gestiscono l'accesso a risorse che potrebbero non essere più disponibili al riavvio, perchè protette da un livello di autenticazione necessario più alto.
keepalive 10 30

Indica al server di mantenere attiva la connessione per evitare continue riaperture da parte dei client.

Un'altra importante configurazione a fare sul server a livello di sistema operativo, è l'abilitare il routing TCP/IP. Tale impostazione si ottiene andando a modificare una chiave del registro di Windows:
  1. Avviare l'editor del Registro di sistema (Regedit.exe).
  2. Nell'editor del Registro di sistema individuare la seguente chiave:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Impostare il seguente valore di registro:
    Nome valore: IPEnableRouter
    Tipo valore: REG_DWORD
    Dati valore: 1
    Un valore pari a 1 consente l'inoltro TCP/IP per tutte le connessioni di rete installate e utilizzate dal computer.
  4. Chiudere l'editor del Registro di sistema.


Configurazione del router/firewall (lato server)
La seguente configurazione è relativa al router/firewall ZyXEL Serie P-600, ma è facilmente adattabile al proprio router/firewall.

Innanzitutto, se attivo il firewall è necessario abilitare una regola che consente il passaggio dei pacchetti indirizzati sulla porta 11940 scelta per il servizio.



In secondo luogo è necessario creare una regola di NAT per effettuare il forward della porta 11940 sulla corrispondente dell'indirizzo IP relativo al server OpenVPN.



Infine è necessario definire una regola di routing tra le Static Routes in modo da indicare a tutti gli altri computer della rete che utilizzano il router come gateway predefinito di inviare i pacchetti destinati alla rete al di là dell'OpenVPN di utilizzare il server OpenVPN come gateway.





Configurazione Router InHandNetworks (OpenVPN client)
La configurazione del InHandNetworks per il funzionamento in questa modalità è molto semplice.

Bisogna innanzitutto aggiungere un nuovo tunnel OpenVPN dal menu VPN / OpenVPN tunnels.



Al termine della procedura si otterrà una nuova riga nella pagina riassuntiva dei tunnel configurati.



Quindi è necessario caricare nel router i certificati relativi al client. Nel nostro esempio i certificati relativi al client1 sono:
ca.crt
client1.crt
client1.key

Il primo certificato è lo stesso utilizzato sul server, mentre gli altri due sono specifici del client. Se si volesse configurare un secondo client che utilizzi lo stesso tunnel OpenVPN, è necessario seguire la procedura per la generazione delle chiavi easy-rsa (solo quelle relative al nuovo client) e generare una coppia certificato/chiave identificata da un nuovo nome univoco (ad esempio client2). Si ricorda che, per ciascun client aggiunto, andrà creato un nuovo file all'interno della directory ccd (nel nostro esempio) sul server, il cui nome è proprio l'identificativo scelto. Attenzione: NON utilizzare spazi nel nome identificativo del client.

Per caricare i certificati sul router, spostarsi nel menu VPN / Certificate Management e caricare uno per volta i file richiesti.



In particolare:

ca.crt --> Import CA Certificate
client1.crt --> Import Public Key Certificate
client1.key --> Import Private Key Certificate

Al termine dell'upload di ciascun file, fare click sul pulsante Back nella schermata di conferma e quindi sul pulsante Apply. E' importante a questo punto spegnere e riaccendere il router, per fare in modo che legga i file appena caricati



Come visualizzare una telecamera o un DVR da remoto (DDNS + NAT)
Una delle applicazioni tipiche del router InHandNetworks è per il collegamento remoto a una o più telecamere IP o ad un DVR con interfaccia ethernet.

I passaggi da effettuare per riuscire a collegarsi dal proprio ufficio o dalla propria abitazione alla telecamera sono i seguenti:

  1. innanzitutto porre attenzione alla compagnia telefonica che offre il servizio di collegamento:
    Vodafone: è necessario chiedere all'operatore esplicitamente una tessera con abilitazione machine-to-machine. Le SIM normali, come quelle utilizzate nelle chiavette usb, NON consentono il collegamento da remoto perchè hanno le porte tutte chiuse.
    TIM: la SIM standard è abilitata al traffico dati in entrata.
    WIND: la SIM standard è abilitata al traffico dati in entrata.
    TRE: lavora in una sottorete privata come Fastweb e NON dà alcuna possibilità di collegamento da remoto.
  2. Impostazione dell'indirizzo IP del router: dal menu Network / LAN è possibile impostare l'indirizzo IP del router. Scegliere un indirizzo IP che non sia già presente nella propria sottorete. Il modo più semplice per effettuare un test per controllare se un indirizzo è già stato riservato è provare a pingarlo (da terminale ping ).
    E' importante che sia il router che la telecamera siano nella stessa sottorete.

  3. Impostazione del DDNS: dopo essersi registrati gratuitamente al servizio DynDns ( www.dyndns.org ) dal menu Network / DDNS è possibile impostare il router affichè registri il proprio indirizzo IP ad ogni collegamento, associandolo ad un nome simbolico mnemonico.

  4. Configurazione del Port Mapping (NAT): dal menu Firewal / Port Mapping è possibile mappare le porte TCP e/o UDP pubbliche del router sulle porte dei dispositivi interni alla sottorete del router.




    In particolare:
    Proto: indica il protocollo della porta.
    Source: indica l'indirizzo/la classe di indirizzi da cui arriva la richiesta (per indicare tutti gli indirizzi IP lasciare 0.0.0.0/0).
    Service Port: indica la porta in ascolto lato WAN (internet).
    Internal Address: indica l'indirizzo IP del dispositivo interno alla sottorete di cui si vuole esporre il servizio.
    Internal Port: indica la porta in ascolto del dispositivo (può essere diversa dalla Service Port).
  5. Impostazione dei parametri di rete della telecamera: perchè tutto funzioni è necessario impostare l'indirizzo IP della telecamera nella stessa sottorete del router. Ad esempio, se il router ha indirizzo IP 192.168.212.150 e Subnet Mask 255.255.255.0, implica che la telecamera abbia indirizzo IP 192.168.212.x dove x può assumere qualsiasi valore compreso tra 1 e 254, escluso il 150 già utilizzato dal router.
    E' importante impostare anche l'indirizzo del gateway nelle impostazioni di rete della telecamera. Il gateway è l'indirizzo IP a cui la telecamera invia le richieste destinate alla rete. Ovviamente tale indirizzo IP sarà quello del router.
  6. La configurazione di base è conclusa ed è ora di testare la comunicazione. Se tutti i passaggi sono stati eseguiti correttamente e la connessione ad internet del router risulta attiva, aprendo un browser e digitando nella barra degli indirizzi il nome simbolico scelto in fase di registrazione al servizio DynDns si dovrebbe accedere all'interfaccia web del router. Digitando invece, nel nostro esempio, http://:8080 di dovrà accedere al servizio web della telecamera.
  7. Se si volesse accedere a più telecamere, ogni telecamera dovrà avere un indirizzo IP univoco e bisognerà assegnare ad ogni telecamera una Service Port diversa nelle impostazioni del Port Mapping (mentre la Internal Port è sempre la stessa).

Marcom S.r.l.
via Mezzacampagna, 52 int.29
37135 - Verona (VR)

Si prega Accedi o Crea un account a partecipare alla conversazione.

Powered by Forum Kunena
Avviso
  • I prezzi sul sito sono IVA esclusa.