configurando openvpn con airgate 4g

NOVUS PRODUTOS ELETRÔNICOS LTDA. 1/13

Configurando a OpenVPN

com o AirGate 4G

Webinar:

Configurando OpenVPN con

AirGate 4G

Folleto | Configurando OpenVPN con AirGate 4G

NOVUS AUTOMATION 2


NOVUS AUTOMATION 3

1. AIRGATE 4G ........................................................................................................................................................... 4 1.1 VENTAJAS Y CARACTERÍSTICAS ................................................................................................................... 4 1.2 CERTIFICACIONES ........................................................................................................................................... 4

2. CONFIGURACIÓN .................................................................................................................................................. 5 TOPOLOGÍA ...................................................................................................................................................... 5 CONFIGURACIÓN DEL SERVIDOR ................................................................................................................. 6 CONFIGURACIÓN DEL CLIENTE ..................................................................................................................... 7 TABLA DE RUTAS ............................................................................................................................................. 8 PRUEBA ............................................................................................................................................................ 8

3. ARTÍCULO TÉCNICO ............................................................................................................................................ 10


NOVUS AUTOMATION 4

1. AIRGATE 4G

AirGate 4G es un router VPN industrial para la red móvil que garantiza el acceso remoto seguro a aplicaciones distribuidas. El dispositivo tiene los protocolos de cifrado y la función de firewall que se encuentran en la mayoría de las infraestructuras de TI, incluyendo fallback automático para redes móviles 4G / 3G / 2G.

Se muestra la robustez y la fiabilidad de este router a través de su rendimiento de alta disponibilidad en largas temperaturas de operación y su certificación CE Mark.

Con clips de montaje en carril DIN y antenas magnéticas externas, se puede montar AirGate 4G en paneles y en cualquier aplicación.

Con alta conectividad, el dispositivo tiene espacio para dos tarjetas SIM, ofreciendo redundancia y failover automático, dos puertos Ethernet, conexión Wi-Fi e interfaces RS485 / RS232.

Se puede utilizar cualquier protocolo de comunicación en cualquiera de sus interfaces. AirGate 4G es flexible, fácil de instalar y de configurar y se puede administrar por acceso local o remoto a través de la web.

1.1 VENTAJAS Y CARACTERÍSTICAS

ACCESO INDUSTRIAL A INTERNET

• Conexión inalámbrica 2G / 3G / 4G;

• Acceso remoto al sistema SCADA para automatización industrial;

• Reducción de los altos costes de mantenimiento.

DISEÑADO PARA USO INDUSTRIAL

• Tensión de alimentación de 9 a 48 VDC;

• Ideal para el uso industrial en ambientes hostiles;

• Carcasa metálica compacta para un fácil montaje.

CONEXIÓN REMOTA SEGURA Y CONFIABLE

• Administrador de conexión que garantiza una comunicación continua;

• Soporte para múltiples túneles VPN para encriptación de datos;

• Firewall que protege contra acceso no autorizado o peligroso.

FÁCIL MANEJO Y FÁCIL MANTENIMIENTO

• Interfaz Web amigable;

• Fácil configuración;

• Soporte de gestión remota en la nube.

1.2 CERTIFICACIONES


NOVUS AUTOMATION 5

2. CONFIGURACIÓN

Este folleto presenta un tutorial de configuración de OpenVPN con certificado X.509 para resolver dudas sobre la supervisión y el control del parque industrial y presentar información sobre soluciones de acceso remoto, protocolos, VPN y envío de notificaciones. Además, descubrirá lo fácil que es trabajar y configurar el acceso remoto.

Figura 1 – Acceso remoto a máquinas y equipos

TOPOLOGÍA

Se recomienda utilizar la siguiente topología:

Figura 2 – OpenVPN con certificado X.509

1. Se debe configurar AirGate 4G como Cliente OpenVPN con cualquier IP que pueda hacer ping con la IP del servidor OpenVPN.

2. Configurado con una IP pública estática, el computador debe actuar como un servidor OpenVPN y abrir un puerto de escucha específico para el túnel OpenVPN.

3. Se debe establecer un túnel OpenVPN entre el servidor y el cliente. Las redes deben ser capaces de realizar con éxito un comando ping entre sí.


NOVUS AUTOMATION 6

CONFIGURACIÓN DEL SERVIDOR

Para configurar un computador como servidor, se debe descargar el software OpenVPN, disponible en https://openvpn.net/, y ejecutarlo e instalarlo con permiso de administrador.

Después de instalar el software, se deben copiar los certificados y la configuración para el computador, como se muestra en la figura a continuación:

Figura 3 – Configuración de OpenVPN

A continuación, crear un nuevo archivo dentro de la carpeta "ccd", renombrarlo (usando el nombre por defecto "client01"), quitar el sufijo de su extensión y configurarlo según la siguiente figura:

Figura 4 – Configuración del archivo client01

A continuación, ejecutar el archivo server.ovpn y configurarlo como se muestra abajo: (para fazer isso recomenda-se utilizar o programa Notepad++)

local 59.41.92.241

mode server

port 1194

proto udp

dev tun

tun-mtu 1500

fragment 1500

ca ca.crt

cert server01.crt

key server01.key # This file should be kept secret

dh dh2048.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist ipp.txt

push "route 192.168.10.0 255.255.255.0"

client-config-dir ccd

route 192.168.5.0 255.255.255.0

keepalive 10 120

cipher BF-CBC

comp-lzo

max-clients 100

persist-key

persist-tun

status openvpn-status.log

verb 3

https://openvpn.net/


NOVUS AUTOMATION 7

CONFIGURACIÓN DEL CLIENTE

Para configurar un computador como cliente, se debe abrir la Interfaz Web de AirGate 4G y seguir la ruta VPN > OpenVPN > OpenVPN > General Settings (Configuración General). A continuación, hacer clic en el botón de edición y configurar la OpenVPN como se muestra en la figura a continuación:


Tras crear la configuración, se debe hacer clic en Save (Guardar) > Apply (Aplicar).

Después de configurar la OpenVPN, se debe seguir la ruta VPN > OpenVPN> X.509 Certificate (Certificado X.509) para importar los certificados y hacer clic en Apply (Aplicar).

Figura 6 – Importando certificados


NOVUS AUTOMATION 8

A continuación, el router se conectará a un servidor OpenVPN. Se puede ver el estado de la conexión en la ruta VPN > OpenVPN > Status.

Figura 7 – Estado de la conexión OpenVPN

TABLA DE RUTAS

Figura 8 presenta una tabla de enrutamiento del servidor OpenVPN:

Figura 8 – Tabla de enrutamiento del servidor OpenVPN

Figura 9 presenta una tabla de enrutamiento del cliente OpenVPN:

Figura 9 – Tabla de enrutamiento del cliente OpenVPN

PRUEBA

Para hacer una prueba, se debe abrir el prompt de comando de Windows (CMD) y hacer ping desde el servidor OpenVPN de LAN al cliente OpenVPN:

Figura 10 – Prompt


NOVUS AUTOMATION 9

A continuación, abrir la Interfaz Web de AirGate 4G, seguir la ruta Maintenance (Mantenimiento) > Debug Tool (Herramientas de Debug) > Ping y hacer ping desde el cliente OpenVPN al servidor OpenVPN.

Figura 11 – Ping

Obtener una respuesta significará el éxito de la prueba.

El router 2 debe recibir un comando SMS y cambiar el estado de la salida digital (DO) para encendido o apagado.


NOVUS AUTOMATION 10

3. ARTÍCULO TÉCNICO

Acceso remoto industrial seguro al utilizar un router móvil 3G y VPN 29/06/2017

El acceso industrial remoto a fábricas distantes, máquinas y equipos electrónicos en todo el mundo está cobrando

importancia tanto en la industria como en los sectores conexos. Los expertos dicen que el control y el monitoreo a distancia son algunos de los más importantes mecanismos para aumentar la producción y que últimamente aumentó el interés de compañías en aplicarlos. La necesidad de información sobre máquinas industriales es muy importante para que los gerentes de las compañías conozcan el contexto actual de su planta de producción y la posibilidad de utilizar Internet para acceder a las máquinas instaladas, lo que reduce los gastos de desplazamiento y optimiza los procesos de monitoreo ya que esta característica elimina la necesidad de ir al establecimiento para comprobar si hay problemas y permite el control de plantas industriales que suelen estar dispersas (muchas veces en países y fronteras).

La integración entre variable de proceso – Gateway – VPN – PC constituye la base tecnológica del concepto de entornos inteligentes (Smart environments), en los que se puede compartir la información generada entre plataformas y aplicaciones. Eso permite hacer el control y el monitoreo a distancia de determinados dispositivos. El concepto de entornos inteligentes se compone de distintas tecnologías, como redes de sensores y sistemas integrados que trabajan en conjunto para rastrear los estados de los dispositivos como la ubicación, la temperatura y el movimiento.

Máquinas industriales integran un gran número de sistemas integrados, conectados o no a una red de comunicación. Estas máquinas pueden tener sensores y actuadores que permiten operaciones de monitoreo y control. Con su amplio espectro de soluciones de grabación e instrumentación, NOVUS participa en el área de acceso remoto industrial para el monitoreo y control eficiente y seguro de plantas de cualquier tamaño, sea para infraestructuras públicas, fábricas o industrias de proceso.

El equipo responsable por esta función en su folleto es el router móvil AirGate 3G, que tiene soporte de conexión cliente o servidor VPN para los principales protocolos utilizados actualmente (OpenVPN, L2TP, IPSec, PPTP y GRE).

En este artículo se muestra la aplicación y configuración de AirGate 3G como Gateway para leer un equipo vía Modbus TCP al utilizar la conexión 3G y el cliente VPN. En este tipo de solución tenemos la siguiente estructura:

Figura 12 – Topología de red para acceso remoto al utilizar el router NOVUS AirGate 3G como cliente

VPN. Imagen adaptada de https://technet.microsoft.com/en-us/library/cc753364(v=ws.10).aspx.

La arquitectura propuesta prevé que el equipo NOVUS FieldLogger esté físicamente conectado al AirGate 3G a través de su puerto Ethernet. Utilizando una conexión de datos móvil, el módem se conecta como cliente al servidor VPN de la empresa, realiza el proceso de autenticación y recibe una IP que hace parte de la red interna, haciéndose invisible a un computador con software SCADA de supervisión. Se muestran ahora los detalles de esta conexión.

AirGate 3G tiene dos puertos Ethernet RJ-45 10/100: se puede configurar la primero (Eth0) como WAN o LAN y el segundo (Eth1) como LAN. Para configuración, el equipo viene con la misma dirección para ambos puertos: 192.168.0.1. Basta con conectar uno de los puertos de red de AirGate 3G al puerto de red de su computador para acceder al equipo a través del navegador web. Las credenciales de acceso son admin/admin (usuario/contraseña).

A continuación, usted se dirigirá a la página de configuración del equipo, que tiene dos menús: Status y Configuración. En la pestaña Status se puede monitorear los registros, las conexiones y las interfaces del equipo y los canales que se están leyendo. La pestana Configuración muestra las características del modem: VPN, FTP, SMTP, SNMP, entre otras características de la red.

Dado que el equipo a leer se conectará al puerto de red de AirGate 3G, es importante tener la dirección física de la

tarjeta de red del dispositivo. Al configurar el servidor DHCP del puerto del módem, necesitamos un lease estático para

Conexión VPN

Cable RJ-45

Servidor Web

Servidor VPN

45

https://technet.microsoft.com/en-us/library/cc753364(v=ws.10).aspx


NOVUS AUTOMATION 11

que, cada vez que se encienda el AirGate 3G, el dispositivo asigne la misma dirección IP al equipo físicamente conectado a él (este filtro utiliza la dirección MAC de la tarjeta de red del equipo conectado porque es siempre la misma). Es importante decir que la dirección reservada para el lease debe estar fuera del rango de IP reservado para el DHCP de ese puerto.

Se realiza la lectura del equipo al final de la red al utilizar una función de AirGate 3G llamada NAT (Network Address Translation), un protocolo que, como su nombre indica, traduce las direcciones IP y los puertos TCP/UDP de la red local a Internet. Es decir, creará una relación IP:Puerto del solicitante de la conexión con la dirección IP:Puerto de destino. AirGate 3G sirve para realizar esta “traducción” y administrar la conexión.

A continuación sigue un ejemplo de la configuración del puerto de red de AirGate 3G que tendrá un FieldLogger conectado:

Figura 13 – Habilitando el servidor DHCP

En esta primera imagen, el puerto Ethernet de AirGate 3G tuvo el servidor DHCP habilitado. En el área de configuración de lease estático, la dirección IP 192.168.0.2, fuera del rango de IP reservado para DHCP, ha sido asignada al FieldLogger con la dirección MAC 00:26:A4:00:00:9E. Esto garantiza que, cuando se configure el servicio NAT del módem, se pueda configurar una dirección IP de destino fijo.

Figura 14 – Configuración

En esta imagen, la primera configuración, nombrada PC-Server, se refiere al computador responsable por este acceso, que tiene una IP fija en 10.51.11.195. Independiente del puerto solicitado en la conexión, él accederá al equipo en la punta.

En esta imagen, la primera configuración, llamada PC-Server, se refiere al computador de este acceso, que tiene una

IP fija al 10.51.11.195. Independientemente del puerto solicitado en la conexión, accederá al equipo al final. La segunda conexión, llamada Modbus, indica que CUALQUIER computador (la dirección 0.0.0.0 indica que cualquier IP solicitante está incluida en esta regla) que intente acceder al AirGate 3G a través del puerto Modbus TCP (Puerto 502) mediante VPN accederá también al FieldLogger en el puerto Modbus TCP. Lo mismo ocurre con la tercera conexión, donde se solicita la conexión al servidor de transferencia de archivos (FTP: Puerto 21).

IP reservada para el FieldLogger


NOVUS AUTOMATION 12

Dado que el proveedor de la conexión a Internet en esta solución es el operador de datos móviles, la dirección IP proporcionada a la tarjeta SIM es privada y el acceso sólo es posible por el operador. Para acceder al AirGate 3G a través de su dirección IP, el dispositivo debe estar en la misma red interna que la máquina que solicita la conexión. Para la conexión, es posible utilizar un túnel VPN en el módem, pues él utilizará su IP externa, junto con un usuario y una contraseña autenticados en el servidor VPN para que pueda ser visto en la red privada de la empresa. AirGate 3G soporta los principales protocolos VPN utilizados en el mercado de la Tecnología de Información hoy en día, principalmente OpenVPN, PPTP y L2TP over IPSec.

El ejemplo a continuación utilizará el protocolo OpenVPN para configurar la conexión virtual privada. Esta es la ventana de configuración del cliente OpenVPN dentro de AirGate 3G. Es necesario introducir los datos proporcionados por el propio servidor VPN (Ejemplo: Dirección IP del servidor, Puerto, Compresión, Encriptación, etc.). Puedes usar las siguientes opciones para autentificar el AirGate 3G en VPN:

• Precompartida;

• Usuario/Contraseña;

• Certificado X.509;

• Certificado X.509 + Usuario/Contraseña.


Los certificados X.509, en los que se especifica el formato de los certificados digitales, se utilizan comúnmente para que un nombre pueda vincularse firmemente a una clave pública y permitir una fuerte autenticación. La dirección IP local será la dirección donde el software SCADA puede ver el AirGate 3G y, al acceder a esta dirección, la función NAT del módem tendrá efecto para redirigir la conexión a la lectura de los registradores del FieldLogger.

Por lo tanto, la aplicación del acceso remoto a un dispositivo cuando se utiliza el AirGate 3G con conexión de datos móviles y VPN basada en el protocolo OpenVPN se basa en estos pilares:

• Lease de IP estática cuando se usa la dirección MAC de FieldLogger;

• Configuración del cliente VPN (En este caso, cliente OpenVPN);

• Configuración de las reglas de traducción y direccionamiento de direcciones (NAT).

Permitir el monitoreo remoto de las plantas es estar al lado de las tendencias tecnológicas dentro del mercado de la automatización industrial. Con la ayuda de las soluciones tecnológicas de NOVUS, es posible implementar esta mejora en varias aplicaciones de diferentes tamaños y ofrecer grandes recursos de optimización y mejoras de productividad para las actividades de control e instrumentación.

www.novusautomation.com

Canoas - Matriz y FábricaRua Engenheiro Homero Carlos Simon, 737CP: 92442-000 - Canoas - RS - Brasil Tel: +55 51 3323-3600Soporte Técnico: +55 51 4007-1596

São Paulo - ComercialRua Almirante Pereira Guimarães, 500CP: 01250-000 - São Paulo - SP - Brasil Tel: +55 11 3097-8466 [email protected]

Curitiba - ComercialRua Sete de Setembro, 4848 Cj.1302CP: 80240-000 - Curitiba - PR - BrasilTel: +55 41 3244-0514 [email protected]

Estados Unidos - Florida201 South Biscayne Blvd, Suite 1200Miami, FL - 33131 - USATel: +1 786 [email protected]

Argentina - Buenos AiresZapiola, 829 C1426ATQ, ColegialesBuenos Aires - ArgentinaTel: +54 11 4554-6441Soporte técnico: + 55 51 4007 [email protected]

Francia - Charbonniers Les Bains13 Chemin Baudy69260 Charbonnieres Les BainsFranceTel: 04 37 22 20 [email protected]

MEDIMOS CON PRECISIÓN.

CONTROLAMOS CON EXCELENCIA.

REGISTRAMOS CON SEGURIDAD.

6050

093

- C

atal

ogo

De

Pro

dut

os R

esum

ido

– E

S

configurando openvpn con airgate 4g

Documents