Добрый день.
Имеется контроллер с ModBus-rtu. Требуется организовать канал связи через интернет. Получается только вариант с динамическим IP-адресом. Но SCADA умеет работать только со статическим IP либо с ком-портом. Кто что посоветует?
Заранее спасибо.

Не жлобиться и заплатить 100 рублей за статический IP

Да не 100 рублей уже,
мегафон- 250 с номера, инфляция...
А WIFI если есть, можно через роутер попробовать.
У нас везде пробивает wifi от телекома.

Вы таки по Modbus RTU выходите в интернет ? или есть модем, сетевой порт ?
з.ы. если реальный динамический то службы DYN DNS и им подобные, например ASUS в своих роутерах дает возможность пользовать свои службы.
Если серый адрес, то только VPN каналы.
Оплата статики

Если применимо, то выходом может быть инициализация соединения контроллером, а не скадой.

Перестаньте выставлять контроллеры голым задом в интернет.

krollcbas если нет соответствующих служб, то и не увидите открытые порты ПЛК, даже если они открыты.

Как может быть - порт открыт, но данные не получаю ? это нонсенс.
Поддерживаю Yegor. Я вот тут имею доступ по RDP к двум машинам и когда появился статический IP так сразу полезли всякие браться ломиться на них. Пришлось прикрыть доступы. Правда врядли кто полезет на 1200 и 502 порты, но все же исключать этого нельзя.

krollcbas чтобы сделать бюджетнее, необходимо чтобы в роутере была возможность включить список разрешенных IP адресов.
Например вы с работы подключаетесь к дому и имеете на работе статический IP или через модем МТС к примеру, первые две цифры IP будут всегда одни, тогда разрешенная сеть будет иметь вид Х.Х.0.0/16
В общем необходимо сузить возможные подключения.

Ну а проверять ессно при отключенных блокировках, файрволах и т.д. потом закрывать.

И еще раз говорю, ПЛК это сильно урезанный компьютер и на нем нет служб, которые сканерам ответят - эй, у меня открыты порты такие-то и такие-то. От ПЛК вы такого ответа не получите. Это возможно на 300-той серии, где Linux при условии соответствующих служб. Но никак не на 100-той версии ПЛК.

врядли кто полезет на 1200 и 502 портыУ меня (http://www.cio.com/article/2390849/security0/critical-flaw-found-in-software-used-by-many-industrial-control-systems.html)
для вас (http://www.digitalbond.com/blog/2012/11/05/codesys-publicly-responds-honest-but-sad/)
плохие (http://pierre.droids-corp.org/blog/html/2015/02/24/scanning_internet_exposed_modbus_devices_for_fun__ _fun.html)
новости (https://scans.io/series/502-modbus-mei_device_id-full_ipv4).

которые сканерам ответят - эй, у меня открыты порты такие-то и такие-тоОно не только так работает. Просто делается попытка установить TCP-сеанс через конкретный порт. В данном случае 502. Для верности можно регистры почитать. Да, можно поставить другой порт, но это лишь полумера.

Yegor не путайте скан определенных портов и протоколов и запрос "какие порты у тебя открыты ?" это несколько разные вещи.

да что тут говорить, посмотрите shodan, всё давным давно автоматизированно и налажено.

Ссылку для ознакомления.

Ссылку для ознакомления.

вы мне говорите? вас забанили в гугле?

да что тут говорить, посмотрите shodan, всё давным давно автоматизированно и налажено.

По shodan не нашёл гугл :confused:

кроме гугла есть яндекс.
Все это фигня, если сделать ограничение по доступным сетям, никакой shodan ничего не увидит, так как его сразу же будет бортовать firewall роутера.

кроме гугла есть яндекс.
Все это фигня, если сделать ограничение по доступным сетям, никакой shodan ничего не увидит, так как его сразу же будет бортовать firewall роутера.

фигня не фигня, однако по России находил codesys, больше интересно ip камеры.

Про роутер. firewall роутера? подробнее пожалуйста. Ну предположим в домашней сети ПЛК, я в роутере пробросил порт на плк, какой firewall будет защищать?


По shodan не нашёл гугл :confused:
соболезную...
<cite class="_Rm">https://www.shodan.io/ да простят меня модераторы...</cite>

Yegor не путайте скан определенных портов и протоколов и запрос "какие порты у тебя открыты ?" это несколько разные вещи.Разве путаю? Я к тому, что и тем, и другим способом можно искать неприкрытые ПЛК в интернете.

Разве путаю? Я к тому, что и тем, и другим способом можно искать неприкрытые ПЛК в интернете.

Автору темы нужен был только модбас, следовательно закрыв 1200 порт на роутере, злоумышленнику крайне сложно будет догадаться что перед ним ПЛК. К тому же сделав внешний порт под какой нибудь не специфичный, например 443 и пробрасывать его уже на 502, эта точка будет не интересна вредителям, специализирующимся на пром.автоматике

Yegor на прямой поиск портов требуется времени больше, вот и вся разница. А запрос адресов сети "че у тебя есть?" занимает времени меньше.
Scream в роутерах есть функция проброса портов и одновременно указание с каких адресов разрешать соединение. Если вы используете например МТС 3G модем, наберите в яндексе "my ip" и вы увидите ip адрес, выдаваемый провайдером.
Например у меня МТС выдает 95.153.130.219 - это реальный адрес провайдера, а вы у него за провайдерским НАТ. Под этим адресом гуляет множество пользователей МТС.
Вот и указываете, что разрешено к вам заходить только с адресом 95.153.0.0 маска сети /16.
Какова вероятность того, что к вам полезет кто-то из этой сети, по определенному протоколу, по определенному порту ? Да, вероятность есть, но точно к вам не полезут из Китая, Дании или еще откуда-то.
Как-то так.
Более правильный вариант, если доступ необходим только с работы и там есть статический реальный IP, тогда в разрешения вы ставите только данный IP адрес. На работе настраиваете VPN сервер, роутер настраиваете одним клиентом, и уже через свой VPN сервер подключаетесь другим клиентом, соответственно в роутере разрешаете еще IP сети VPN для подключения.

Хотел тоже сказать что сказал уже capzap только я бы рекомендовал диапазон за 10 000.

melky, в принципе соглашусь с вами, диапазон ip если дин. ip имеем, а лучше конечно статический на клиенте, чтоб наверняка.

Лично я не открываю такие вещи. У меня проброшен rdp на сервак, оттуда уже codesys, сеть 'промышленная", интернета не имеет, левых пользователей бухгалтеров тоже нет в этой сети, порт во внешку 1 на rdp и 1 для web, номера не стандартные, спать можно....

Scream это когда в сети вместе с ПЛК существуют и ПК, а если только роутер и ПЛК и больше ничего нет ? и ПЛК не на Linux, чтобы по ssh залезть а что-нить в роде 100-ки ?

Scream это когда в сети вместе с ПЛК существуют и ПК, а если только роутер и ПЛК и больше ничего нет ? и ПЛК не на Linux, чтобы по ssh залезть а что-нить в роде 100-ки ?

да я не спорю то.
я рассказал как сделал лично я.