MiDGE Przemysłowy router GSM/GPRS/EDGE/UMTS/LTE dla systemów SCADA

7.5 Konfiguracja tuneli VPN

Konfiguracja i zarządzanie połaczeniami VPN na routerach MiDGE/MG102i.

7.5.1. OpenVPN

Administracja

Status administracyjny OpenVPN: Włącz (enabled) lub wyłącz (disabled) OpenVPN

Jeśli włączony, konfiguracja klienta OpenVPN zostanie uruchomiona w momencie ustanowienia łącza WAN. Konfiguracja serwera będzie uruchomiona od razu po starcie urządzenia.

MiDGE Konfiguracja tunelu OpenVPN

Konfiguracja tuneli

Router wspiera pojedynczy tunel serwera i do 4 tuneli klienckich. Parametry tunelu można ustawić w konfiguracji standardowej albo załadować plik trybu expert – który generujemy z poziomu routera.

Operation mode: Wybierz tryb klienta lub serwera dla tego tunelu

MiDGE Konfiguracja klienta OpenVPN

Tryb klienta

Primary server address

Adres głównego serwera OpenVPN dla klientów

Primary server port

Podstawowy port serwera OpenVPN, domyślny 1194

Secondary server address

Dodatkowy adres serwera OpenVPN, do przełączenia w momencie niedostępności serwera głównego (dla klientów)

Secondary server port

Dodatkowy port serwera (dla klientów)

Type

Typ urządzenia VPN TUN (routowalne połączenia) albo TAP (sieci mostkowane)

Network mode

Tryb sieci. Opisuje jak pakiety mają być przekazywane, mogą być routowane albo mostkowanie od albo do wybranego interfejsu.

Cipher

Rodzaj szyfrowania

Use compression

Włącz lub wyłącz kompresję OpenVPN

Use keep alive

Podtrzymanie w przypadku nieaktywności tunelu

Redirect gateway

Przekierowanie bramki. Wszystkie pakiety będą przekierowane do tunelu VPN.

Protocol

Rodzaj protokołu do użycia w tunelu

Authentication

Autentykacja. Można wybrać: bez autentykacji, bazujące na poświadczeniach i bazujące na kluczach i certyfikatach. Klucze i certyfikaty tworzymy w SYSTEM -> Keys/Certificate. Można je także wgrać samodzielnie.

Tryb serwera

Do utworzenia tunelu serwera potrzebne są następujące pliki:

  • server.conf (OpenVPN plik konfiguracyjny),
  • ca.crt (root certyfikat),
  • server.crt (certyfikat),
  • server.key (klucz prywatny),
  • dh1024.pem (plik parametrów Diffie hellman),
  • katalog (z domyślną nazwą “ccd”) zawierający pliki konfiguracyjne klienta.

Ważne: Tunel OpenVpn wymaga poprawnego czasu systemowego. Proszę się upewnić czy serwery NTP są dostępne. Serwery DNS muszą być także dostępne podczas używania nazw hostów.

MiDGE Serwer OpenVPN

Zarządzanie klientami

Po utworzeniu serwera OpenVPN można zarządzać klientami oraz dodawać nowych. Na stronie można także sprawdzić jaki klient jest aktualnie połączony. Ponadto można określić na sztywno adres punktu końcowego tunelu dla każdego klienta i odpowiadającej mu sieci. Można także zdefiniować domyślne ścieżki routingu które będą podane każdemu klientowi jeżeli  chcesz przekierować ruch dla wybranych sieci w stronę serwera.

Możesz generować i pobierać pliki trybu eksperckiego do analizy.

MiDGE Zarządzanie klientami OpenVPN

7.5.2 IPSec

IPSec jest używany głównie dla zabezpieczania połączenia internetowego przez autentykację i/lub kodowanie pakietów IP w strumieniu danych. IPsec zawiera różne kryptograficzne protokoły i szyfry dla wymiany kluczy i szyfrowania danych.

Administracja

MiDGE Administracja VPN IPSec

IPsec administrative status

Włącz lub wyłącz IPsec

Propose NAT Traversal

Proponuj trawersowanie NAT. Używane dla połączeń z trawersowaniem ścieżek, gdzie router modyfikuje adres IP/port pakietów

Konfiguracja

MiDGE Konfiguracja tunelu IPSec

Remote server address

Adres zdalnego serwera. Adres IP albo nazwa hosta IPsec serwera / respondera / peer’a

Remote LAN address

Zdalna sieć prywatna, zadeklarowana przez adres IP w notacji decymalnej

Remote LAN subnet mask

Zdalna sieć prywatna określona przez maskę podsieci w notacji decymalnej

NAT Traversal

Włącz lub wyłącz NAT Traversal. Trawersowanie NAT jest używane głównie dla połączeń z trawersowaną ścieżka gdzie serwer modyfikuje adresy IP lub porty pakietów. Enkapsułuje pakiety na UDP.

Preshared Key (PSK)

Klucz wstępny PSK

IKE mode

Wybierz tryb negocjacji. Domyślny jest tryb główny (ochrona prywatności). Tryb agresywny jest używany przy pracy z dynamicznym adresem punktu końcowego.  Jednak jest mniej bezpieczny w porównaniu do trybu głównego i zdradza twoją tożsamość potencjalnemu podsłuchującemu

IKE encryption

Metoda szyfrowania IKE

IKE hash

IKE hash

IKE Diffie-Hellman Group

IKE Diffie-Hellman Group

Perfect Forward Secrecy (PFS)

Doskonałe utajnienie przekazywania. Ta funkcja rozbudowuje bezpieczeństwo, zapobiega penetracji na protokole wymiany klucza i zapobiega narażeniu podanych wcześniej kluczy

Local ID

Lokalne ID

Remote ID

Zdalne ID

ESP encryption

Metoda szyfrowania ESP

ESP hash

ESP hash

Status

Włącz lub wyłącz DPD (metoda podtrzymywania nieaktywnych sesji IKE). DPD wykrywa przerwane połączenia IPsec w szczególności tunelu ISAKMP i odświeża odpowiednie SA (Security Associations) oraz SPI (Security Payload Identifier) dla szybszego ponownego podniesienia tunelu

Detection cycle [sec]

Ustawienie przerwy w sekundach pomiędzy podtrzymywaniem DPD (RFC 3706) (R_U_THERE, R_U_THERE_ACK), które jest wysyłane dla tego połączenia (domyślnie 30 sekund)

Failure count

Liczba żądań DPD R_U_THERE na które nie uzyskano odpowiedzi, po których IPsec peer uzna próbę za nie udaną (router będzie próbował wznowić nie działające połączenie automatycznie)

7.5.3 PPTP

Protokół PPTP jest metodą implementacji wirtualnych prywatnych sieci pomiędzy dwoma hostami. PPTP jest łatwe w konfiguracji i szeroko wdrażane zamiast Microsoft Dial-up networking serwer. Jednak w dzisiejszych czasach nie jest uważane za bezpieczne. Kiedy konfigurujesz tunel PPTP wybierz tryb ‘klient’ lub ‘serwer’.

MiDGE Konfiguracja tunelu PPTP
MiDGE Konfiguracja Klienta PPTP

Tunel Klienta (client) wymaga ustawienia następujących parametrów:

Server address

Adres serwera zdalnego serwera

Username

Nazwa użytkownika

Password

Hasło użytkownika

7.5.4 Dial-in Server

Na tej stronie możesz skonfigurować dostęp wdzwaniany (komutowany) w celu uzyskania połączenia z siecią wewnętrzną lub publiczną. Funkcja wykorzystuje połączenie komutowane typu Voice. Maksymalna prędkość transmisji danych wynosi 9600bps. Równoczesne stosowanie sieci Dial-Out i Dial-In nie jest możliwe.

Jeżeli będzie konieczne stosowanie takiego rozwiązania proponujemy wykupić u operatora usługę DATA lub CSD z niezależnym numerem do transmisji danych (numer przychodzący). Dla połączenia typu DATA sieć GSM inaczej ustawia korekcję błędów oraz kontrolę pakietów danych. Połączenia takie jest wówczas bezstratne, a możliwa do uzyskania szybkość transmisji danych wynosi 14,4kbps (CSD).

Funkcja Dial-in Server nie jest wspierana przez  MIDGE-LTE/MG102i-LTE

 

Administrative status:

Włączony (enabled)/wyłączony (disabled)

Modem:

Określa modem do którego przychodzą połączenia

Address range start:

Startowy adres dla klientów połączonych do serwera Dial-in

Address range size:

Rozmiar puli adresów klientów połączonych do serwera

Dial-in Server Status

Pokazuje aktualny stan usługi. disabled - wyłączona / enabled - włączona.

MiDGE Dial-in Server
Rys. Dostęp wdzwaniany do routera MiDGE