Руководство по организации удалённого подключения к промышленному ПЛК посредством OpenVPN

[Vvka]

Предоставлять доступ в PCN (process control network) с внешней сети (internet) любыми средствами — это безумство.

[Muzzy0]

любыми средствами

Это здесь лишнее. Важно понимать цели доступа, они могут оправдывать средства :)

[arrmagedon99]

Очень вовремя. Тоже думаю сеть между ПЛК наладить.

[DarkWolf13]

интересная статья, но вот использовать подобное соединение именно для инженерной станции сомнительно, где гарантия что в момент прогрузки приложения не произойдет сбой, будет ли на удаленном объекте кто-нибудь кто поможет восстановить, у меня при прогрузке в другом корпусе 1200 контроллера был сбой, пришлось в щитовую с ноутом идти. не все контроллеры защищены от подобного сбоя, у некоторых вообще на до все заново на самом контроллере настраивать сбhосив его в default/

[noumenon_s]

Тестировал на 1500 отключение линии связи во время полной прогрузки контроллера — ничего страшного не произошло. Повторная прогрузка при восстановлении связи решила проблему.
Как себя поведёт данное решение на других контроллерах — подсказать не смогу. Единственное из-за чего пришлось подключатся к локальной сети — это прогрузка конфигурайции контроллера при неправильной настройки сетевых параметров контроллера (не был прописан маршрутизатор KEENETIC).

[DarkWolf13]

вот в том то и дело, что можно слегка ошибиться в hardware и придется искать способ телепортации или самому или помощнику на удаленный объект. А на других контроллерах тоже есть комбинации что в случае неправильной прогрузки теряется и связь и возможность удаленной правки (не везде прогружается конфигурация и программа может прогружаться по-отдельности)… учитывая правило siemens хорошо стыкуется только с siemens, в остальных случаях хороший результат не гарантируется… и надо к этому быть более-менее готовым

[Muzzy0]

Есть старая народная примета: удалённая настройка фаервола — к дальней дороге :)))

[vampire333]

А безопасники Ваши в курсе этой дыры?

[Fenogik]

Если безопасники разбирающиеся, то запретят прочитав.
А если неразбирающиеся, то запретят даже не читая.

[nkusnetsov]

Статья из серии "какой нельзя создавать архитектуру промышленной системы".
Опять 192.168.1.х в рабочих сетях. А если "192.168" привели "для примера" — поглядите в RFC. Там есть диапазоны для этого "TEST-NET" называются.
Еще один автор не знает, как использовать маршрутизацию.
Еще один костыль из стороннего несертифицированного продукта очень "обрадует" безопасников. Хотя, в конторе, где шлюз на keenetic, денег на безопасность наверняка совсем нет.

[noumenon_s]

По поводу маршрутизации прошу прояснить?
Цель написания данной статьи — это показать возможность удалённого подключения к промышленному ПЛК, т.к. в интернете вообще нет информации отчего следует отталкиваться.
Данный «костыль» произошёл как раз таки из сертифицированного промышленного маршрутизатора, который не имеет поддержки TAP-соединения и изначально схема выглядит вот так:
Windows TUN-сервер соединяется с промышленным сертифицированным маршрутизатором-клиентом (пусть будет PxC 2903588), который обслуживающий персонал по месту может включать/выключать по своему усмотрению с помощью переключателя (на маршрутизаторе имеются управляющие контакты). Далее к маршрутизатору подключается KEENETIC. Создаём второй TAP-интерфейс на Windows. И по второму интерфейсу (через KEENETIC) подключаемся к сети контроллера.
Не нужно носить розовые очки и каждому пациенту с насморком назначать томографию.

[nkusnetsov]

Возможно, в программировании Вы разбираетесь гораздо лучше. Но арзитектура сетей — это пока не Ваше.
Создавать большие L2-broadcast сегменты воообще так-себе решение. Тем более, "растягивать" их через интернет и удаленный доступ.
По поводу сертификации — покадите сертификаты. ФСТЭК на примененное Вами ПО OpenVPN.
Из-за таких непродуманных решений КИИ оказывается уязвимой.
За оформление статьи с иллюстрациями "5".
А за сетевую арзитектуру "троечка", увы.

[mic3852]

А просто использовать KeenDNS нельзя?

[Siemargl]

В качестве терапии предлагаю попрограммировать Овены или им подобные в Кодесис. Да и А-Б 800й серии тоже от последних недалеко ушли.

[Siemargl]

Из лидеров еще Шнайдер Юнити и Омрон CX. У микролоджиксов софт с большими сравнивать неуместно, да и старые они — сняли вроде с пр-ва.

[AntonShipulin]

А как же надёжность связи? Временны́е адержки из-за шифрования? Вы на столько доверяете и рекомендуете OpenVPN?

[noumenon_s]

Подключение к контроллеру Siemens происходит без проблем. Но вот подключиться к частникам Vacon и ABB через eternet не получается. Хоть и программы их видят в сети. Пинг от моего рабочего места до устройства занимает 150 — 700 мс. Проблем с прогрузкой софта и панелей оператора не возникало. Что вас настораживает в OpenVPN?

[Minipyh]

вы СЕРЬЕЗНО?! инструкция как на Винде установить ВПН сервер в картинках и зачем-то использовать TAP вместо TUN. я бы понял ещё ssh-тунелирование по ключу. но то что вы написали просто ЗЛО. как это вообще проходит модерацию?

[noumenon_s]

TUN — соединение не подойдёт. Profinet работает на втором уровне OSI. Проще говоря вы не сможете подключится к контроллеру по TUN-интерфейсу.

[Sfinx88]

Нет, мои дорогие, так нельзя делать. Почему? Потому что в реальной жизни к удалёнке цепляются для устранения проблем, это всегда срочно, это всегда прессинг. И у тебя не будет времени пилить всю эту хрень, генерировать сертификаты, пробрасывать туннели потому что тебе нужно срочно проблему решать. Ты обычно даже не понимаешь, а жив ли контроллер, в каком он состоянии, не говоря уж о прочем. Единственный, более или менее рабочий способ в реальной жизни — кто-то на объекте цепляет любой комп, или ноут к ПЛК и ты через RDP или TeamViewer работаешь. Все то что писали выше про безопасность — конечно верно, но в реальной жизни то нет.

[constnw88]

Siemens & keenetic, серьёзно? В реальной жизни VPN без доступа в Интернет и наоборот. Все операторы предоставляют эти услуги. Если есть деньги на S7, то и на каналы денег хватит.

[DarkWolf13]

в том-то и дело что ТЗ и бюджет могут быть изначально заточены по siemens, а вот текущие расходы зачастую не такие радостные, да и со временем финансирование может быть урезано…

[constnw88]

VPN на базе мобильных сетей — это очень не дорого. Нужно будет только модем подключить, которые и в промышленном исполнении есть за разумные деньги.
Каждая организация можеть себе позволить, вопрос только в том, что бы обосновать необходимость в этом для руководства.

[noumenon_s]

Не спорю есть более серьезные промышленные решения. Например, Moxa OnCell G3150A-LTE-EU. Просто в данном случае у нас на объекте стоит PxC 2903588, но у него есть очень большой недостаток — отсутствие TAP режима OpenVPN, а без него мы не сможем подключиться к контроллеру (т.к. Profinet работает на L2 уровне). Чтобы минимизировать затраты мы подключили к нему KEENETIC.

[Siemargl]

Соломку стелить надо заранее. Для сущей безопасности пока нет абзаца, можно вытащить шнурок из рутера.

кто-то на объекте цепляет любой комп

это когда на объекте есть любой комп с _нужным_ комплектом инженерного ПО требуемых версий

[noumenon_s]

Очень часто звонят срочно решить вопрос с ПО и мне все что нужно сделать — это нажать две кнопки на компе и ты уже находишься в сети контроллера. Да процедура создания всех ключей занимает много времени, но это время окупается сполна в будущем. Хочу пояснить, что процедура создания ключей делается один раз под 1 объект. Например, у вас есть 2 объекта, которые вам нужно обслуживать, то вам нужно проделать процедуру создания ключей 2 раза. Когда вам нужно подключиться к первому объекту — вы запускаете первый файл конфигурации, когда вам нужно подключится ко второму объекту, то запускаете второй файл конфигурации.

[Dimm56]

Использую opnsense + kennetic для таких целей. Точечные ПК соединяю при помощи ovpn с привязкой адреса. Для объединения сетей ipsec. Мне так удобно)) на данный момент работает 28 ipsec и 25 vpn каналов и их количество будет расти. Очень удобно. Все в одном месте: шлюз для офиса, vpn сервер, генератор сертификатов и т.д и т.п. gui opnsense очень удобен и приятен в работе.