8E4510, FW41IP5-U01 8E4511, FW412P16-U01 8E4502, 3G Industrial Pro RS232 8E4506, 3G Industrial Pro RS485 Interconnessione di PLC Modbus via VPN su 3G Questa guida descrive l interconnessione di una rete centrale a due postazioni remote attraverso tunnel VPN IPSec originati da Router 3G Industrial Pro (8E4502/8E4506) e terminato su un VPN Server FW42IP16-U01. Scopo dell interconnessione delle reti è il controllo di PLC con protocollo Modbus interfacciati attraverso la seriale RS232 o RS485 del Router 3G. Un sistema di controllo Master presente sul sito A interrogherà i PLC remoti Slave presenti sui siti B e C. Presupposti Connessione Internet: entrambe le sedi remote sono connesse attraverso una router 3G Indirizzi IP sulle reti remote: appartenenti a Subnet diverse Indirizzamento globale: la sede A ha attivo un DDNS sul router 3G, le sedi B e C ha un IP dinamico L attivazione del tunnel VPN avviene sempre e soltanto dai siti B e C verso il sito A Gli indirizzamenti in essere sono mostrati sul seguente schema. 1/8
Configurazione VPN Server (A) Impostazione della porta WAN del Firewall Impostazione Policy VPN Lato A, la policy VPN per la sede B Presuppone l uso della modalità Answer Only, Aggressive Mode. Lato A, la policy VPN per la sede C Presuppone l uso della modalità Answer Only, Aggressive Mode. 2/8
Configurazione 3G Router (A) Virtual Server Essendo il router 3G in modalità NAT, sarà necessario attivare un Virtual Server della porta 500:UDP per permettere l instaurazione dei tunnel VPN e, a titolo d esempio, l apertura della porta TCP: 8181 per la gestione HTTP remota del Firewall. Dynamic DNS Per permettere a siti B e C di indirizzare il tunnel VPN verso un indirizzo IP (o URL) globale è necessaria l attivazione di un account DDNS, in questo esempio c01.ns0.it, e la relativa configurazione nel router 3G. 3/8
Configurazione 3G Router (B) Configurazione Seriale Impostiamo la velocità ed il formato da utilizzare sulla porta seriale. Configurazione Modbus Il router 3G metterà a disposizione i dati provenienti dalla porta seriale del PLC attraverso un socket TCP sul proprio indirizzo di LAN 192.168.5.100:502, in modalità Network Bridge. 4/8
Policy VPN La policy VPN verso il sito A punterà all indirizzo IP globale remoto DDNS c01.ns0.it. Da notare la sintassi Remote ID, FQDN che aggiunge automaticamente un @ di fronte all URL c01.ns0.it. Questo carattere non è da inserire nella policy del lato A. In fase di test è consigliabile disattivare il parametro Restart WAN when failed che causerebbe un ciclico reset della connessione 3G se il tunnel VPN non si stabilisce. Attivare questa opzione solamente una volta verificato il corretto instaurarsi del tunnel per far si che il sistema riavvii automaticamente la connessione 3G se il tunnel dovesse cadere. 5/8
Configurazione 3G Router (C) Configurazione Seriale Impostiamo la velocità ed il formato da utilizzare sulla porta seriale. Configurazione Modbus Il router 3G metterà a disposizione i dati provenienti dalla porta seriale del PLC attraverso un socket TCP sul proprio indirizzo di LAN 192.168.7.100:502, in modalità Network Bridge. Policy VPN La policy VPN verso il sito A punterà all indirizzo IP globale remoto DDNS c01.ns0.it. Da notare la sintassi Remote ID, FQDN che aggiunge automaticamente un @ di fronte all URL c01.ns0.it. Questo carattere non è da inserire nella policy del lato A. 6/8
In fase di test è consigliabile disattivare il parametro Restart WAN when failed che causerebbe un ciclico reset della connessione 3G se il tunnel VPN non si stabilisce. Attivare questa opzione solamente una volta verificato il corretto instaurarsi del tunnel per far si che il sistema riavvii automaticamente la connessione 3G se il tunnel dovesse cadere. 7/8
Una volta stabilito il tunnel VPN, ecco lo stato delle connessioni IPSec sul Firewall (A) e la comunicazione tra Master e Slave Modbus 8/8