МВ210 + LTE + VPN +ПЛК

[Аши]

Приветствую.
Нужна теоретическая помощь. На объекте планируется передача данных со следующей схемой: ПЛК в локальной сети, со статическим ip. Сеть построена с VPN-туннелями. На другой стороне стоит модуль МВ210 подключенный по Ethernet к роутеру со встроенным модемом LTE. В модеме симка со статическим ip в этой же vpn сети.
Вопрос. Как правильно должно быть организованно взаимодействие роутера с модулем? Должен ли роутер/модем играть роль модема или шлюза? То есть я настраиваю модем со статикой, пробрасываю порт и опрашиваю модуль таким образом или я должен настроить модем как шлюз и присвоить белый ip самому модулю, а можем играет только роль преобразователя?
С обычными сетями проблем давно нет, а вот тут пока ещё понимания не хватает.
Заранее спасибо за ответы.

[Александр Пинэко-Скворцов]

Приветствую.
Нужна теоретическая помощь. На объекте планируется передача данных со следующей схемой: ПЛК в локальной сети, со статическим ip. Сеть построена с VPN-туннелями. На другой стороне стоит модуль МВ210 подключенный по Ethernet к роутеру со встроенным модемом LTE. В модеме симка со статическим ip в этой же vpn сети.
Вопрос. Как правильно должно быть организованно взаимодействие роутера с модулем? Должен ли роутер/модем играть роль модема или шлюза? То есть я настраиваю модем со статикой, пробрасываю порт и опрашиваю модуль таким образом или я должен настроить модем как шлюз и присвоить белый ip самому модулю, а можем играет только роль преобразователя?
С обычными сетями проблем давно нет, а вот тут пока ещё понимания не хватает.
Заранее спасибо за ответы.

Добрый день.

Если я правильно понял схему Вашей сети, то ПЛК с модемом/роутером в одной подсети. В таком случае, если роутер позволяет, Вы можете настроить проброс с "внешнего" статического адреса и порта роутера на "внутренний" IP-адрес модуля и порт 502.
Из ПЛК соответственно обращаетесь по внешнему адресу роутера и проброшенному порту.
Во внутренней сети (относительно роутера и модуля) роутер конечно будет шлюзом для модуля.

[Аши]

Добрый день.

Если я правильно понял схему Вашей сети, то ПЛК с модемом/роутером в одной подсети. В таком случае, если роутер позволяет, Вы можете настроить проброс с "внешнего" статического адреса и порта роутера на "внутренний" IP-адрес модуля и порт 502.
Из ПЛК соответственно обращаетесь по внешнему адресу роутера и проброшенному порту.
Во внутренней сети (относительно роутера и модуля) роутер конечно будет шлюзом для модуля.

Да,все верно.Закрытая VPN сеть предприятия,то есть подсеть одна. Мне не совсем ясен принцип построения обмена данными. Правильно ли я вас понял, что ПЛК опрашивает внешний адрес роутера, он же "белый" айпишник? А уже в настройках роутера я настраиваю проброс порта и адресацию на айпишник модуля?
Роутер с вероятностью 99% будет с OpenWRT, так что я думаю проблем не будет.

Тогда в настройках самого модуля мне достаточно указать как адрес шлюза, адрес роутера во внутренней (относительно модуля) сети,правильно я понимаю?

[Александр Пинэко-Скворцов]

Правильно ли я вас понял, что ПЛК опрашивает внешний адрес роутера, он же "белый" айпишник? А уже в настройках роутера я настраиваю проброс порта и адресацию на айпишник модуля?
Роутер с вероятностью 99% будет с OpenWRT, так что я думаю проблем не будет.

Тогда в настройках самого модуля мне достаточно указать как адрес шлюза, адрес роутера во внутренней (относительно модуля) сети,правильно я понимаю?

Да, всё верно.

[melky]

в локальной сети, со статическим ip. Сеть построена с VPN-туннелями

в этой же vpn сети

никаких пробросов портов не требуется. просто маршрутизация сетей, всё.
ни нНада лезь в открытые ip - у вас есть сеть предприятия, закрытая для всех, кроме вас. Вот по IP из vpn сети вы и должны обращаться к МВ210

как вариант с пробросом порта. роутер имеет адрес vpn сети ну скажем 10.20.30.10 - за роутером сеть 192.168.0.0/24 где у МВ210 адрес 192.168.0.10
Тогда нужен проброс порта из 10.20.30.Х/Х на 192.168.0.10

Или МВ может иметь следующий адрес в vpn, например 10.20.30.11 - тогда пробросы не нужны

Или как по первому варианту, но на роутерах настроена маршрутизация сетей, тогда вы просто обращаетесь к 192.168.0.10 минуя всякие пробросы портов, и т.д. и т.п.

[Аши]

никаких пробросов портов не требуется. просто маршрутизация сетей, всё.
ни нНада лезь в открытые ip - у вас есть сеть предприятия, закрытая для всех, кроме вас. Вот по IP из vpn сети вы и должны обращаться к МВ210

как вариант с пробросом порта. роутер имеет адрес vpn сети ну скажем 10.20.30.10 - за роутером сеть 192.168.0.0/24 где у МВ210 адрес 192.168.0.10
Тогда нужен проброс порта из 10.20.30.Х/Х на 192.168.0.10

Или МВ может иметь следующий адрес в vpn, например 10.20.30.11 - тогда пробросы не нужны

Или как по первому варианту, но на роутерах настроена маршрутизация сетей, тогда вы просто обращаетесь к 192.168.0.10 минуя всякие пробросы портов, и т.д. и т.п.

Вот только всё в этом мире стало аюсолютно понятно и теперь непонятно снова xD

У меня, наверное,варианта без проброса не получится, так как либо сразу, либо в перспективе, добавится еще несколько таких точек. То есть у роутеров будут свои айпи в сети, а под ними подсети с модулями ввода.

Ну и VPN сеть в данном случае с удаленными модемами, через LTE. И именно под них выделены статические айпи в сети. Разве в таком случае вариант

Или МВ может иметь следующий адрес в vpn, например 10.20.30.11 - тогда пробросы не нужны

Будет работать? Если я правильно понимаю, то для МВ в таком случае нужно выделять еще один статический айпи через провайдера LTE?

[melky]

Вам бы лучше поговорить с IT-шниками предприятия. Потому что если большое, то и вариантов будет несколько. Вообще, если есть голова (ядро сети) и кучка роутеров, то настраивается маршрутизация сетей на обоих сторонах.
За роутерами делаются сетки вида 192.168.Х.0/24 и ядро знает кто где. Тогда с сервера Scada, который тоже в некоторой сети под ядром просто указываются IP адреса непосредственно установленных МВ210 и работается как в обычной сети.

Задача ядра с роутерами связать все в "прозрачную" сеть.

Следующий адрес в VPN это при маленькой сетке, там же еще сожрет себе адрес роутер, + на шлюз адрес сожрется. При одном устройстве за роутером может 4 IP адреса сожрать.

на счет openWRT не подскажу, не пользовался. Не все варианты VPN позволяют передавать маршруты в сеть, чтобы это работало в автомате.

[imaex]

никаких пробросов портов не требуется. просто маршрутизация сетей, всё.

Смотря какая VPN. Для IPsec VPN в режиме туннелирования маршрутизация не нужна.