G3150 в качестве маршрутизатора

[Aleksandr]

Доброго времени суток.

Имеется LAN сеть, в которую включен модем G3150. Модем выходит посредством сотового оператора (GPRS) в интернет, причем сотовым оператором ему присваивается внутренний IP (10.xx.xx.xx). Можно ли извне каким-либо образом получить доступ к портам компьютеров, находящихся в LAN сети. По той информации, что я прочел в описании, это можно сделать посредством поднятия своего VPN сервера. Но в описании на G3150 есть ссылка на программу OnCell Central Server. Можно ли ее использовать для этой цели ?

[Agibalov]

Здравствуйте!

 

В данном случае возможны два варианта:

 

1) Использовать OnCell Central Server. Он как раз для этой задачи и предусмотрен. Однако, нужно учитывать, что он работает только под серверными версиями Windows.

2) Запросить у оператору услугу статического IP-адреса. Тогда можно будет получить доступ к компьютерам за модемом с помощью обычного проброса портов.

[Aleksandr]

Здравствуйте!

 

В данном случае возможны два варианта:

 

1) Использовать OnCell Central Server. Он как раз для этой задачи и предусмотрен. Однако, нужно учитывать, что он работает только под серверными версиями Windows.

2) Запросить у оператору услугу статического IP-адреса. Тогда можно будет получить доступ к компьютерам за модемом с помощью обычного проброса портов.

 

Спасибо за ответ.

Почему то не нашел этого ПО на сайте. Или OnCell Central Manager - это то же самое, что и OnCell Central Server ?

[Timoshuk]

Здравствуйте!

Это одно и то же. Ссылка с подробным описанием.

[Heckfy]

Здравствуйте!

Кажется нашёл нужную тему, подключаюсь к вопросу.

 

В общем есть следующая схема:

С двух сторон находятся модемы Oncell G3150. Между ними связь организуется по GPRS. Внешние адреса для модемов дает оператор сотовой связи (пробовались публичные адреса один из которых статический, а другой динамический; в данный момент даются частные адреса и оба статические). За первым модемом локальная сеть LAN1 с контроллером 1, за вторым локальная сеть LAN2 с сервером с ОС Windows Server 2003 и ПО, предназначенным для опроса удаленного контроллера 1. Контроллер 1 имеет подключенный к модему порт Ethernet, на порту контроллера для организации опроса имеются 2-а локальных порта типа TCP-сервер, а также TCP-клиент, предназначенные для соединения с ранее указанным удаленным сервером (ПО). К тому же к модему, к которому подключается контроллер 1, подключается по COM-порту контроллер 2, где COM-порт настраивается как TCP-клиент по отношению к удаленному серверу.

 

Задачи:

В целом задача состоит в организации связи (опроса) между сервером и контроллерами, находящимися в своих локальных сетях соответственно LAN1 и LAN2, за IP-модемами. В частности, еще требуется организовать VPN-туннель проходящий между модемами в сети оператора. И не хочется устраивать "танцы с бубнами" вокруг NAT модемов, его Virtual Server для проброса отдельных опросных портов контроллера и сервера.

 

Суть проблем и решений:

1) Пробовали решить задачу в первом приближении (пока без VPN-туннеля) с публичными адресами и Virtual Server. Но, к сожалению, GPRS оператора (МТС, Мегафон) с публичными адресами в одну сторону дает задержку отклика в среднем до 2000-2500 мс, что между модемами выливается в задержку в среднем около 4000 мс. Большая задержка отклика не позволяет ПО удаленного сервера провести соединение с контроллером. В целях подтверждения проблемы публичного GPRS заменили модем со стороны сервера на USB 3G-модем типа HUAWEI 3131 и с получившейся задержкой отклика до 2000 мс удалось провести соединение и опрос контроллера 1. Однако, нам нужно организовать соединение и опрос через 2-а GPRS-модема Oncell G3150 и публичные небезопасные адреса нам не подходят, поэтому в надежде и предположении, что в частной сети оператора задержка отклика между модемами не будет больше 2000 мс - переходим на частные адреса, как и планировалось в самом начале исходя из требований по информационной безопасности.

2) Было наше предположение, что VPN-туннель модемов, помимо требуемой безопасности даст маршрутизацию в локальные сети LAN1 и LAN2. Решили проверить предположение, имея в наличии временную схему в виде:

а) с одной стороны сервер с 3G-модемом HUAWEI, имеющий на нем публичный WAN2 и за ним на сервере локальную LAN2.

б) с другой стороны контролер за GPRS-модемом Oncell, находящийся в локальной сети модема LAN1, имеющим публичный WAN1.

На сервере в ОС подняли IPSec\IKE(PSK)-туннель, где в политиках IP-безопасности соответственно для 2-х конечных точек туннеля были прописаны адреса WAN2 и WAN1, в фильтрах в ту и другую сторону прописали подсети LAN1 и LAN2 соответственно. В находящемся со стороны контроллера GPRS-модеме Oncell, в его VPN Settings, прописали удаленную точку туннеля по адресу WAN2, там же удаленную подсеть LAN2, и его локальную LAN1. В момент тестирования был в наличии только один GPRS-модем Oncell, да и публичный GPRS с большим временем отклика не делал лишних иллюзий, поэтому решили применить указанную временную схему в испытаниях. IPSec\IKE(PSK)-туннель поднялся, что было отражено в логах модема Oncell и ОС.

Однако, со стороны модема (его встроенной утилиты PING), а также из локальной сети LAN1, через IPSec\IKE(PSK)-туннель удалось достучаться до LAN2 без проблем. А вот обратно, т.е. из LAN2 в LAN1 - нет. Посмотрев в таблицу маршрутизации сервера с одной стороны и модема с другой стороны можно сделать вывод, что на сервере всё ОК (поэтому смогли достучаться в LAN2 снаружи), а вот на модеме после поднятия туннеля в ROUTING ничего не изменилось (все те же самые маршруты, на месте которых можно было только с уверенностью производителя написать "Здесь был Вася Пупкин"..), что закономерно не даёт достучаться из LAN2 в LAN1.

 

Соответственно вопросы:

1) Неужели даже после поднятия VPN-туннеля нет встроенного способа пробраться в LAN за модемы? Хотя сам VPN-туннель не рассматривался в решении такой задачи. Но хотелось бы её решить без "танцев с бубнами" вокруг NAT модемов, их Virtual Server.

2) Можно ли решить вопрос 1 с помощью OnCell Central Manager, если его установить на сервере за вторым модемом? И как до него грамотно (предполагаю применение Virtual Server) достучаться, т.е. в LAN2, снаружи?

3) Все предыдущие комментарии форума говорят о том, что в модемах только так называемый VPN-клиент, насколько это верно? И судя по такому комментарию, то невозможно сделать IPSec\IKE(PSK)-туннель непосредственно между модемами. Так ли? Если так, то нам для поднятия туннеля понадобиться пробиваться в сеть LAN2, к серверу, за модем. Т.е. на модеме сервера нам нужно пробросить в WAN2 порты сервера UDP 500, UDP 4500. А на противоположной стороне, на модеме контроллера, что включить? NAT-T? В качестве удаленной конечной точки адрес WAN2, удаленной сети LAN2?

[Soluyanov]

Здравствуйте.

Да, Вы правы. В данных модемах поддерживается только режим VPN-клиента. Для Вашей задачи могу предложить такое решение: заказать у оператора услугу "выделенная точка доступа". В этом случае в настройках обоих модемов Вы указываете имя выделенной APN, и таким образом, соединяете две сети без организации VPN на модемах. Central Manager не обеспечивает шифрование данных (которое, насколько я понял, необходимо в данном случае). Как обеспечивается защита данных при использовании выделенной АР, подсказать не могу, уточните этот вопрос у оператора связи.

[Heckfy]

С наступающим! И с Новым годом!

Спасибо, за ответ.

Да, так сейчас и заказали у оператора APN. Оператор выделяет подсеть.

Однако, остается вопрос: как достучаться без применения NAT из LAN1 в LAN2 через LAN оператора? Таблица маршрутизации в модемах не редактируется. Или же её можно изменить путём указания шлюза в сетевых настройках каждого модема в виде адреса LAN, назначенного оператором для противоположного модема?

Если после этого маршрут пропишется в модемах, то можно будет достучаться из LAN2 в LAN1 и обратно. И свой VPN-туннель возможно будет пробросить от модема контроллера до сервера, нашего VPN-сервера непосредственно в LAN2. Если так, то зачем что-то ещё надо будет выяснять у оператора?

[Agibalov]

Здравствуйте!

 

Да, можно попробовать такой вариант, со взаимным указанием модемов в качестве шлюзов друг для друга. Только не забудьте при этом указать в компьютерах, которые будут за каждым из модемов, в качестве шлюза локальный адрес "своего" модема. Это будет не VPN-тоннель, а обычная маршрутизация. При этом, никакого шифрования данных модемы осуществлять не будут, и за защиту данных в этом случае должен отвечать оператор связи.

[Heckfy]

Здравствуйте, Евгений.

Не хочу вас обидеть, но, Евгений, Вы мне вашим ответом напоминаете врача-терапевта из поликлиники для моей больной тётушки, страдающей гипертонией. Бедная ходила к врачу и спрашивала помощи, и от ответной молчаливой безысходности сама уже предлагала: "А может мне вот это доктор попробовать принять...?"...Ну что же попробуйте, голубушка, - отвечала ей врач. "А может, доктор, вот это..?...Ну что же, можно и это...

А в итоге от такого ведения больного, терапевт довела тётушку до микроинсульта, и почти до слепоты с образованием тромба в глазном нерве. И как выяснили в глазном институте, лекарства назначались терапевтом и акулистом из поликлиники противоположно-ошибочно. Прошу прощение за оффтоп, не сдержался.

 

Теперь по вашему ответу замечу конкретно:

1) Про указание для и сервера и контроллера адреса модема в качестве шлюза - знаем. И выше я это уже указывал, чтобы вы и я не повторялись. Прошу читать внимательнее.

2) Указание в настройках модема в качестве шлюза внешнего адреса противоположного модема - ничего не даёт. В ROUTING появляется маршрут из сети 0.0.0.0 в сеть 0.0.0.0 через этот указанный адрес. Т.е. маршрут из ниоткуда в некуда, и соответственно такой маршрут ничего не даёт. Проверено.

3) То, что, если бы удалось добиться маршрутизации - это только было пользой и облегчило создание VPN-туннеля. Ваше замечание ни о чём. При рабочей маршрутизации я бы смог поднять, более чем вероятно, туннель от удаленного модема непосредственно к серверу. На сервере к внешнему интерфейсу была бы соответственно применена политика с шифрованием и аутентификацией IPSec. И где здесь тогда, указываемая Вами проблема доступности извне локальной сети? Где к тому же невозможно будет преодолеть внешний интерфейс удаленного модема с поднятым VPN-туннелем.

4) Маршрутизацию в мою подсеть мне может в частной сети устроить только оператор, предоставляющий настройки для внешнего интерфейса модемов. Либо он пропишет по мой просьбе маршруты, либо укажет шлюзы в виде адресов удаленных модемов. Но маршрутизация заработает в этом случае только если в модемах нет встроенного файрволла, блокирующего входящие соединения. Вот это я не могу знать, в документации на этот счёт нет информации. А что Вы, Евгений, скажите на этот счёт?

5) Даже без маршрутизации со стороны оператора, у меня ещё остаётся вариант попробовать поднять VPN-туннель от удаленного модема, пробросив UDP-порты 500 и 4500 через NAT модема, стоящего перед сервером. А там уж после поднятия туннеля буду пробовать от сервера маршрузироваться в посеть удаленного модема.

6) Если встречу файрволл модема по его внешнему интерфейсу, то останавлюсь на его NATе, как безысходности даже при VPN-туннеле.

[Heckfy]

Здравствуйте. Да, Вы правы. В данных модемах поддерживается только режим VPN-клиента. Для Вашей задачи могу предложить такое решение: заказать у оператора услугу "выделенная точка доступа". В этом случае в настройках обоих модемов Вы указываете имя выделенной APN, и таким образом, соединяете две сети без организации VPN на модемах. Central Manager не обеспечивает шифрование данных (которое, насколько я понял, необходимо в данном случае). Как обеспечивается защита данных при использовании выделенной АР, подсказать не могу, уточните этот вопрос у оператора связи.

 

Вот вообще мне не понятна ситуация с VPN в Moxa OnCell G3110/G3150. Не понятна потому что на самом деле Moxa эти устройства вообще представляет как шлюзы (Getaway), а не модемы. См. http://www.moxa.com/product/OnCell_G3110_G3150.htm, где устройство называется "Industrial quad-band GSM/GPRS/EDGE IP gateways with VPN". Модемами я их и сам называю, так как пока не вижу функции полноценного шлюза в них. Хотя с точки зрения Moxa модемами у них являются другие устройства, такие как OnCell G2111/OnCell G2151I.

 

Заслуживает ли Moxa OnCell G3110/G3150 быть названными IP gateways with VPN? Нет ли здесь маркетингового обмана?

 

Мне кажется по отношению к Moxa OnCell G3110/G3150 наблюдается прямая попытка со стороны Moxa обмануть пользователя.

Специалисты с форума пишут, что эти IP gateways являются лишь клиентами. Но как так может быть? Это противоречит заявленному функционалу в названии. С точки зрения соединений VPN существует лишь 2-е структуры: Clent-to-Gateway, Gateway-to-Gateway, что подробно описывается MSDN Microsoft согласно там же указанных стандартов. Если в устройствах нет функции VPN-шлюза, то устройства Moxa OnCell G3110/G3150 должны на самом деле называться "Industrial quad-band GSM/GPRS/EDGE IP clients with VPN", и это было бы правильно. А сейчас получается, исходя из указаний специалистов (администраторов) форума, что производитель нам пользователям врёт и у нас появляются основание заявить на них в общество защиты прав потребителя.

 

Товарищи по несчастью, предлагаю свертать Moxa OnCell G3110/G3150 им взад, за не выполнение функций!