Aleksandr Posted November 12, 2013 Share Posted November 12, 2013 Доброго времени суток. Имеется LAN сеть, в которую включен модем G3150. Модем выходит посредством сотового оператора (GPRS) в интернет, причем сотовым оператором ему присваивается внутренний IP (10.xx.xx.xx). Можно ли извне каким-либо образом получить доступ к портам компьютеров, находящихся в LAN сети. По той информации, что я прочел в описании, это можно сделать посредством поднятия своего VPN сервера. Но в описании на G3150 есть ссылка на программу OnCell Central Server. Можно ли ее использовать для этой цели ? Link to comment
Agibalov Posted November 12, 2013 Share Posted November 12, 2013 Здравствуйте! В данном случае возможны два варианта: 1) Использовать OnCell Central Server. Он как раз для этой задачи и предусмотрен. Однако, нужно учитывать, что он работает только под серверными версиями Windows. 2) Запросить у оператору услугу статического IP-адреса. Тогда можно будет получить доступ к компьютерам за модемом с помощью обычного проброса портов. Link to comment
Aleksandr Posted November 13, 2013 Author Share Posted November 13, 2013 Здравствуйте! В данном случае возможны два варианта: 1) Использовать OnCell Central Server. Он как раз для этой задачи и предусмотрен. Однако, нужно учитывать, что он работает только под серверными версиями Windows. 2) Запросить у оператору услугу статического IP-адреса. Тогда можно будет получить доступ к компьютерам за модемом с помощью обычного проброса портов. Спасибо за ответ. Почему то не нашел этого ПО на сайте. Или OnCell Central Manager - это то же самое, что и OnCell Central Server ? Link to comment
Timoshuk Posted November 13, 2013 Share Posted November 13, 2013 Здравствуйте! Это одно и то же. Ссылка с подробным описанием. Link to comment
Heckfy Posted December 25, 2013 Share Posted December 25, 2013 Здравствуйте! Кажется нашёл нужную тему, подключаюсь к вопросу. В общем есть следующая схема: С двух сторон находятся модемы Oncell G3150. Между ними связь организуется по GPRS. Внешние адреса для модемов дает оператор сотовой связи (пробовались публичные адреса один из которых статический, а другой динамический; в данный момент даются частные адреса и оба статические). За первым модемом локальная сеть LAN1 с контроллером 1, за вторым локальная сеть LAN2 с сервером с ОС Windows Server 2003 и ПО, предназначенным для опроса удаленного контроллера 1. Контроллер 1 имеет подключенный к модему порт Ethernet, на порту контроллера для организации опроса имеются 2-а локальных порта типа TCP-сервер, а также TCP-клиент, предназначенные для соединения с ранее указанным удаленным сервером (ПО). К тому же к модему, к которому подключается контроллер 1, подключается по COM-порту контроллер 2, где COM-порт настраивается как TCP-клиент по отношению к удаленному серверу. Задачи: В целом задача состоит в организации связи (опроса) между сервером и контроллерами, находящимися в своих локальных сетях соответственно LAN1 и LAN2, за IP-модемами. В частности, еще требуется организовать VPN-туннель проходящий между модемами в сети оператора. И не хочется устраивать "танцы с бубнами" вокруг NAT модемов, его Virtual Server для проброса отдельных опросных портов контроллера и сервера. Суть проблем и решений: 1) Пробовали решить задачу в первом приближении (пока без VPN-туннеля) с публичными адресами и Virtual Server. Но, к сожалению, GPRS оператора (МТС, Мегафон) с публичными адресами в одну сторону дает задержку отклика в среднем до 2000-2500 мс, что между модемами выливается в задержку в среднем около 4000 мс. Большая задержка отклика не позволяет ПО удаленного сервера провести соединение с контроллером. В целях подтверждения проблемы публичного GPRS заменили модем со стороны сервера на USB 3G-модем типа HUAWEI 3131 и с получившейся задержкой отклика до 2000 мс удалось провести соединение и опрос контроллера 1. Однако, нам нужно организовать соединение и опрос через 2-а GPRS-модема Oncell G3150 и публичные небезопасные адреса нам не подходят, поэтому в надежде и предположении, что в частной сети оператора задержка отклика между модемами не будет больше 2000 мс - переходим на частные адреса, как и планировалось в самом начале исходя из требований по информационной безопасности. 2) Было наше предположение, что VPN-туннель модемов, помимо требуемой безопасности даст маршрутизацию в локальные сети LAN1 и LAN2. Решили проверить предположение, имея в наличии временную схему в виде: а) с одной стороны сервер с 3G-модемом HUAWEI, имеющий на нем публичный WAN2 и за ним на сервере локальную LAN2. б) с другой стороны контролер за GPRS-модемом Oncell, находящийся в локальной сети модема LAN1, имеющим публичный WAN1. На сервере в ОС подняли IPSec\IKE(PSK)-туннель, где в политиках IP-безопасности соответственно для 2-х конечных точек туннеля были прописаны адреса WAN2 и WAN1, в фильтрах в ту и другую сторону прописали подсети LAN1 и LAN2 соответственно. В находящемся со стороны контроллера GPRS-модеме Oncell, в его VPN Settings, прописали удаленную точку туннеля по адресу WAN2, там же удаленную подсеть LAN2, и его локальную LAN1. В момент тестирования был в наличии только один GPRS-модем Oncell, да и публичный GPRS с большим временем отклика не делал лишних иллюзий, поэтому решили применить указанную временную схему в испытаниях. IPSec\IKE(PSK)-туннель поднялся, что было отражено в логах модема Oncell и ОС. Однако, со стороны модема (его встроенной утилиты PING), а также из локальной сети LAN1, через IPSec\IKE(PSK)-туннель удалось достучаться до LAN2 без проблем. А вот обратно, т.е. из LAN2 в LAN1 - нет. Посмотрев в таблицу маршрутизации сервера с одной стороны и модема с другой стороны можно сделать вывод, что на сервере всё ОК (поэтому смогли достучаться в LAN2 снаружи), а вот на модеме после поднятия туннеля в ROUTING ничего не изменилось (все те же самые маршруты, на месте которых можно было только с уверенностью производителя написать "Здесь был Вася Пупкин"..), что закономерно не даёт достучаться из LAN2 в LAN1. Соответственно вопросы: 1) Неужели даже после поднятия VPN-туннеля нет встроенного способа пробраться в LAN за модемы? Хотя сам VPN-туннель не рассматривался в решении такой задачи. Но хотелось бы её решить без "танцев с бубнами" вокруг NAT модемов, их Virtual Server. 2) Можно ли решить вопрос 1 с помощью OnCell Central Manager, если его установить на сервере за вторым модемом? И как до него грамотно (предполагаю применение Virtual Server) достучаться, т.е. в LAN2, снаружи? 3) Все предыдущие комментарии форума говорят о том, что в модемах только так называемый VPN-клиент, насколько это верно? И судя по такому комментарию, то невозможно сделать IPSec\IKE(PSK)-туннель непосредственно между модемами. Так ли? Если так, то нам для поднятия туннеля понадобиться пробиваться в сеть LAN2, к серверу, за модем. Т.е. на модеме сервера нам нужно пробросить в WAN2 порты сервера UDP 500, UDP 4500. А на противоположной стороне, на модеме контроллера, что включить? NAT-T? В качестве удаленной конечной точки адрес WAN2, удаленной сети LAN2? Link to comment
Soluyanov Posted December 30, 2013 Share Posted December 30, 2013 Здравствуйте. Да, Вы правы. В данных модемах поддерживается только режим VPN-клиента. Для Вашей задачи могу предложить такое решение: заказать у оператора услугу "выделенная точка доступа". В этом случае в настройках обоих модемов Вы указываете имя выделенной APN, и таким образом, соединяете две сети без организации VPN на модемах. Central Manager не обеспечивает шифрование данных (которое, насколько я понял, необходимо в данном случае). Как обеспечивается защита данных при использовании выделенной АР, подсказать не могу, уточните этот вопрос у оператора связи. Link to comment
Heckfy Posted December 31, 2013 Share Posted December 31, 2013 С наступающим! И с Новым годом! Спасибо, за ответ. Да, так сейчас и заказали у оператора APN. Оператор выделяет подсеть. Однако, остается вопрос: как достучаться без применения NAT из LAN1 в LAN2 через LAN оператора? Таблица маршрутизации в модемах не редактируется. Или же её можно изменить путём указания шлюза в сетевых настройках каждого модема в виде адреса LAN, назначенного оператором для противоположного модема? Если после этого маршрут пропишется в модемах, то можно будет достучаться из LAN2 в LAN1 и обратно. И свой VPN-туннель возможно будет пробросить от модема контроллера до сервера, нашего VPN-сервера непосредственно в LAN2. Если так, то зачем что-то ещё надо будет выяснять у оператора? Link to comment
Agibalov Posted January 15, 2014 Share Posted January 15, 2014 Здравствуйте! Да, можно попробовать такой вариант, со взаимным указанием модемов в качестве шлюзов друг для друга. Только не забудьте при этом указать в компьютерах, которые будут за каждым из модемов, в качестве шлюза локальный адрес "своего" модема. Это будет не VPN-тоннель, а обычная маршрутизация. При этом, никакого шифрования данных модемы осуществлять не будут, и за защиту данных в этом случае должен отвечать оператор связи. Link to comment
Heckfy Posted January 15, 2014 Share Posted January 15, 2014 Здравствуйте, Евгений. Не хочу вас обидеть, но, Евгений, Вы мне вашим ответом напоминаете врача-терапевта из поликлиники для моей больной тётушки, страдающей гипертонией. Бедная ходила к врачу и спрашивала помощи, и от ответной молчаливой безысходности сама уже предлагала: "А может мне вот это доктор попробовать принять...?"...Ну что же попробуйте, голубушка, - отвечала ей врач. "А может, доктор, вот это..?...Ну что же, можно и это... А в итоге от такого ведения больного, терапевт довела тётушку до микроинсульта, и почти до слепоты с образованием тромба в глазном нерве. И как выяснили в глазном институте, лекарства назначались терапевтом и акулистом из поликлиники противоположно-ошибочно. Прошу прощение за оффтоп, не сдержался. Теперь по вашему ответу замечу конкретно: 1) Про указание для и сервера и контроллера адреса модема в качестве шлюза - знаем. И выше я это уже указывал, чтобы вы и я не повторялись. Прошу читать внимательнее. 2) Указание в настройках модема в качестве шлюза внешнего адреса противоположного модема - ничего не даёт. В ROUTING появляется маршрут из сети 0.0.0.0 в сеть 0.0.0.0 через этот указанный адрес. Т.е. маршрут из ниоткуда в некуда, и соответственно такой маршрут ничего не даёт. Проверено. 3) То, что, если бы удалось добиться маршрутизации - это только было пользой и облегчило создание VPN-туннеля. Ваше замечание ни о чём. При рабочей маршрутизации я бы смог поднять, более чем вероятно, туннель от удаленного модема непосредственно к серверу. На сервере к внешнему интерфейсу была бы соответственно применена политика с шифрованием и аутентификацией IPSec. И где здесь тогда, указываемая Вами проблема доступности извне локальной сети? Где к тому же невозможно будет преодолеть внешний интерфейс удаленного модема с поднятым VPN-туннелем. 4) Маршрутизацию в мою подсеть мне может в частной сети устроить только оператор, предоставляющий настройки для внешнего интерфейса модемов. Либо он пропишет по мой просьбе маршруты, либо укажет шлюзы в виде адресов удаленных модемов. Но маршрутизация заработает в этом случае только если в модемах нет встроенного файрволла, блокирующего входящие соединения. Вот это я не могу знать, в документации на этот счёт нет информации. А что Вы, Евгений, скажите на этот счёт? 5) Даже без маршрутизации со стороны оператора, у меня ещё остаётся вариант попробовать поднять VPN-туннель от удаленного модема, пробросив UDP-порты 500 и 4500 через NAT модема, стоящего перед сервером. А там уж после поднятия туннеля буду пробовать от сервера маршрузироваться в посеть удаленного модема. 6) Если встречу файрволл модема по его внешнему интерфейсу, то останавлюсь на его NATе, как безысходности даже при VPN-туннеле. Link to comment
Heckfy Posted January 21, 2014 Share Posted January 21, 2014 Здравствуйте. Да, Вы правы. В данных модемах поддерживается только режим VPN-клиента. Для Вашей задачи могу предложить такое решение: заказать у оператора услугу "выделенная точка доступа". В этом случае в настройках обоих модемов Вы указываете имя выделенной APN, и таким образом, соединяете две сети без организации VPN на модемах. Central Manager не обеспечивает шифрование данных (которое, насколько я понял, необходимо в данном случае). Как обеспечивается защита данных при использовании выделенной АР, подсказать не могу, уточните этот вопрос у оператора связи. Вот вообще мне не понятна ситуация с VPN в Moxa OnCell G3110/G3150. Не понятна потому что на самом деле Moxa эти устройства вообще представляет как шлюзы (Getaway), а не модемы. См. http://www.moxa.com/product/OnCell_G3110_G3150.htm, где устройство называется "Industrial quad-band GSM/GPRS/EDGE IP gateways with VPN". Модемами я их и сам называю, так как пока не вижу функции полноценного шлюза в них. Хотя с точки зрения Moxa модемами у них являются другие устройства, такие как OnCell G2111/OnCell G2151I. Заслуживает ли Moxa OnCell G3110/G3150 быть названными IP gateways with VPN? Нет ли здесь маркетингового обмана? Мне кажется по отношению к Moxa OnCell G3110/G3150 наблюдается прямая попытка со стороны Moxa обмануть пользователя. Специалисты с форума пишут, что эти IP gateways являются лишь клиентами. Но как так может быть? Это противоречит заявленному функционалу в названии. С точки зрения соединений VPN существует лишь 2-е структуры: Clent-to-Gateway, Gateway-to-Gateway, что подробно описывается MSDN Microsoft согласно там же указанных стандартов. Если в устройствах нет функции VPN-шлюза, то устройства Moxa OnCell G3110/G3150 должны на самом деле называться "Industrial quad-band GSM/GPRS/EDGE IP clients with VPN", и это было бы правильно. А сейчас получается, исходя из указаний специалистов (администраторов) форума, что производитель нам пользователям врёт и у нас появляются основание заявить на них в общество защиты прав потребителя. Товарищи по несчастью, предлагаю свертать Moxa OnCell G3110/G3150 им взад, за не выполнение функций! Link to comment
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now