Team viewer

[Project75]

Buon giorno non so se ho beccato la sessione giusta del forum per la mia domanda, comunque vorrei sapere  come collegarmi con la vnp di team viewer per accedere ad un dispositivo (plc) collegato nel pc che accedo da remoto, in modo tale che possa gestire il plc con il programma che ho installato sul mio pc ed ovviamente non è installato su quella remoto. Grazie mille

[radiation74]

Non puoi. Devi crearti una VPN road warrior per accedere alla LAN di dove hai il PLC.

Il PLC è collegato in via rete o USB?

 

Alternativa devi trovare un software VPN vero e proprio; ma a mio avviso è un complicarsi la vita.

Non hai un router che gestisce VPN server? 

[Project75]

Ho un router dell'operatore. Mi potresti indicare un programma che mi crei una vpn in automatico?

[radiation74]

Di automatico non c'è nulla. Tra l'altro comunque c'è sempre esigenza di tenere almeno un PC acceso e alcune volte pure la necessitàdi creare tabelle di routing.

Ti ho chiesto se il PLC è connesso in rete oppure ci accedi con USB/RS232/RS485.

 

Ai tempi usavo qualcosa che mi sembra si chiamassse "green Bown VPN"; Ma oggi come oggi la soluzione migliore è usare un router che faccia da VPN server. Ad esempio i blasonati Mikrotik di cui parlo sempre fanno tutto quello che hai bisogno e costano davvero poco.

 

Io per primo in TUTTI gli ipianti che realizzo (da PLC a sistemi di sicurezza) metto sempre un MIkrotik che punta verso il mio server in modo da avere sempre tutti i device accessbili.

 

[Project75]

Il plc è collegato in lan. Ma un netgear potrebbe andar bene?

[radiation74]

Se fa da VPN server si. Ovviamente vanno sempre e comunque aperte le porte sul  firewall/router .

 

Altrimenti puoi anche fare il contrario e attivare un server dal tuo lato e far fare a cliente da client; la funzioen client VPN è presente su molti router (non certo sui catorci di mamma TIM e compagnia)

[Project75]

Quindi se volessi creare una vpn mia personale, da poter poi interfacciare con qualsiasi utente, ovviamente all'occorrenza, come devo fare?

[radiation74]

Io ti sconsiglio i software VPN; tieni presente poi che nel 90% dei casi non puoi uscire dal PC dove sei arrivato in quanto solo il router ha le rotte compilate. 

 

Prima di tutto devi decidere se tu vuoi essere il client o il server.... e in base a questi quali apparati usare. mikrotik gestisce tutte le VPN sia come server che come client.

Ma ci sono tantissimi altri prodotti come Peplink, Zyxel, Watchguard, 

Oppure ancora se preferisci prodotti software (ma necessitano di hardware dedicato) Pfsense o zerowall. 

Dove c'è il server se l'apparato non farà da router occorre aprire le porte della VPN scelta sul router.

[Project75]

Vorrei un qualcosa che non richiede l'apertura delle porte su router, in pratica qualcosa come team viewer che lo installi sia nel proprio pc che nel pc remoto.

[radiation74]

Come ti ho spiegato se arrivi al PC difficilmente poi navighi sulla rete senza le opportune rotte nel router ; ergo non arrivi sul PLC. 

Hai dato un'occhiata alle VPN software di The Green Bown VPN? 

 

Se non vuoi aprire porte dal cliente vuol dire che devi crearti un server VPN da te; per fare questo devi avere un router che faccia da VPN server e possa gestire regole di firewalling per bloccare l'accesso alla tua rete da remoto. 

[Project75]

Quindi come si dovrebbe procedere per fare questa vpn..... 

[radiation74]

Prima di tutto dovresti avere un apparato dal lato tuo che faccia da VPN server e contestualmente capire che tipo di VPN vuoi usare: PPTP (totalmente insicura e non più supportata da molti device), L2TP, IPSEC, SSTP, OPENvpn. Io per compatibilità e semplicità di utilizzo (non servono certificati da importare) suggerisco la L2TP con uno strato di IPSEC.

Una volta configurata la VPN occorre creare gli utenti e relative autorizzazioni. Il mio suggerimento è dedicare una subnet solo per le VPN in modo che non vi sia accesso alla propria LAN.

 

Lato cliente occorre solo configurare la VPN client (user, password e indirizzo IP del server).

Eventualmente poi dal tuo lato, in base a come si è deciso di usare la VPN va impostata la rotta per raggiungere i device remoti (PLC ecc).

[Iacopo 78]

noi in azienda abbiamo fatto un qualcosa di simile usando teamviewer per telegestione e supervisione sia di pc che pannello operatore con questo escamotage...

 

plc conneso diretto al pannello operatore, il quale non è un semplice pannello ma un vero e proprio pc panel touch con windows a bordo ...

 

il tutto collegato a un router TPLINK e da li acceddiamo dal nostro workstation di ufficio.....

 

ovviamente una simile soluzione la puoi fare se realizzi ex novo l' impianto,, se hai un impianto vecchio senza le opportune precauzioni che ti ha detto molto meglio di me radiaton 74 la gestione con teamviewer non la fai.....

[salto]

Nella mia azienda usiamo ewon ... https://ewon.biz/it

[radiation74]

Lo conosco,  ma salvo che è uscita una nuova versione anche in questo caso non si può accedere alla rete come vuole Project. Si accede in RDP e VNC. 

 

[salto]

Radiation74, non capisco cosa vuoi dire ?

 

Con Ewon crei una VPN a tutti gli effetti che ti permette di accedere a tutti i dispositivi PC o PLC tramite il loro nodo IP,

esattamente come se Tu fossi all'interno di quella LAN privata.

La semplicità di dispositivi come Ewon è quella di bypassare il problema di conoscere l'IP pubblico (statico e/o dinamico) con cui la LAN del cliente si collega ad internet,

cosa indispensabile se uno vuole utilizzare connessione VPN configurata su un normale router. 

 

L'Ewon su cui gira il  server VPN viene installato dentro la LAN del cliente, senza che il cliente debba fare nulla.

L'unico diritto che deve essere fornita all'Ewon è quello di collegarsi alla LAN del cliente con cavo Ethernet e/o wireless e di poter navigare in internet.

In automatico Ewon crea una connessione con un suo server internet di nome Talk2m.

Il dispositivo viene registrato sul server e segnalato quando la sua connessione è attiva.

Quando da un qualunque PC si vuole accedere all'interno della LAN del cliente, basta lanciare un client VPN di nome ecatcher 

il quale si collega a Talk2m per avere il percorso / routing per raggiungere il Server VPN Ewon all'interno della LAN.

 

Il client VPN può entrare nella LAN privata del cliente in quanto sfrutta una connessione che in realtà è stata iniziata dall'interno.

 

Lo scopo del mio suggerimento è quello di indicare apparecchiatura semplice con cui Project75 può collegarsi al PLC da remoto

[radiation74]

Vero, ho guardato ora il sito e l'ho confuso con un prodottto software con nome simile. Domani se lo trovo pubblico il nome.

Si questo è un VPN-Bridge che sfruttando il cloud crea dei peer. Sempre però che non ci sia di mezzo un proxy aziendale.

 

Io ho usato anche Tosibox (che credo sia un po' simile) ma il fatto che le connessioni passino per "terze parti" a me non entusiasma molto. Un po' come per tutti i cloud che se ne parla molto perchè "comodi" ma a mio avviso poco sicuri (soprattutto quando il cloud non si sa nemmeno dove risieda)..

[salto]

Viceversa se vuole sfruttare a tutti i costi la configurazione basata su due PC con Teamviewer , ad esempio

 

PC A con ambiente sviluppo +Teamviewer+VPN ------Internet---------- PC B con Teamviever-VPN -----------PLC 

 con IP 7.168.24.10                                                                                            con IP 7.168.24.11                

                                                                                                                           con IP 192.168.10.1   ---------- IP 192.168.10.2

 

Penso dovrebbe installare sul PC B un servizio di routing ulteriore tramite il quale ad esempio 

reindirizzare i pacchetti destinati al 7.168.24.11 al 192.168.10.2

Conoscendo ad esempio il numero di porta usato dall'ambiente di sviluppo per collegarsi al PLC 

esempio l'S7 utilizza il numero di porta 102, si potrebbe fare una NAT 

 

Questo in teoria ...ma in pratica non saprei  quale programma installare sul PC B per fare quanto serve 

 

P.S.

Anche ogni istanza di Teamviewer installata su ogni PC utilizzi lo stratagemma di uscire dalla LAN privata per collegarsi ad un server pubblico

( o cloud come lo chiami Tu) al fine di  bypassare lo scoglio di non poter dall'esterno entrare in una LAN privata

[radiation74]

Però non capisco perché complicarsi la vita usando dei PC quando con degli oggetti da 15€ per lato ci si può creare una VPN in tutta sicurezza senza aver bisogno di cloud software di terze parti o altro ma soprattutto avere l'accesso simultaneo da più parti anche in contemporanea. 

 

PS: Conosco perfettamente come funziona Teamviewer e similari. In molte aziende mi viene proprio chiesto di droppare tutte le richieste provenienti da questi software. 

Cosa un po' più complicata quando alcuni software di controllo remoto passano dalla 443 (che generalmente non si blocca essendo HTTPS) ; mi sembra che Supremo possa sfruttare proprio la 443

[salto]

Penso che la richiesta di Project75 abbia un senso pratico in quanto:

 

1) in qualunque rete LAN di un qualunque cliente almeno un PC esiste sempre connesso, ad esempio quello usato in qualche ufficio.

2) Se il PLC viene collegato alla LAN del cliente tramite un solo cavo Ethernet aggiuntivo questo è un costo veramente basso.

3) Il chiedere al cliente di installare Teamviewer sul suo PC e attivare la VPN Teamviewer può essere fatto in un tempo ridottissimo e "gratuito"

4) Se esiste un altro software gratuito che re-indirizza i pacchetti che arrivano all'IP VPN del computer remoto verso l'IP del PLC all'inerno della LAN privata 

il gioco è fatto a cost zero !!!

 

 

 

[radiation74]

Perdonami ma a questo punto apro la porta del router. 

 

Io quando metto gli oggettini da 15€ (che ormai installo su qualsiasi  impianto che realizzo; senza nemmeno farlo pagare al cliente perché è tutto tempo risparmiato per me) lo faccio proprio per essere indipendente e poter aver libero accesso in qualsiasi ora del giorno è della notte senza dipendere da nessuno; inoltre alcune volte mi è capitato di fargli fare da "watch-dog" verso PLC o altro facendomi mandare SMS o mail in caso di mancanza alimentazione.

In un caso dove c'era un PLC, che nei periodi estivi andava in blocco con la comunicazione di una scheda remota, ho sfruttato questa funzione per avvisare via SMS il cliente che il sistema era in blocco. 

 

[salto]

Radiation74,

Se ho capito bene, Tu hai un tuo server con indirizzo pubblico sempre accessibile in internet, verso cui Mikrotik da 15 €  si collegano periodicamente ,

per fornire il percorso di routing al tuo server ?

Oppure ognuno di questi dispositivi crea una sua connessione ad internet indipendente , ad esempio attraverso connessione dati su rete cellulare ? 

Che modello usi esattamente ?

[radiation74]

Si i Mikrotik (mAP) si collegano all'ip pubblico del server. Ogni mikrotik quando si collega prende un IP che ho assegno io a quella utenza e poi mi scrivo delle route per poter accedere alle varie periferiche.

Di solito uso la connessione del cliente, ma se ci sono esigenze particolari  metto una chiavetta 3G nel mikrotik e la uso come backup (se il cliente è un tirchio che mi da una SIM a consumo faccio in modo che la sessione dati inizia quando mando un certo SMS o chiamata da una whitelist).

Il bello di Mikrotik e che consentono di fare anche connessioni in bridge; utile se devo fare delle prove e avere la condizione di essere totalmente nella stessa LAN del cliente. Ad esempio tempo fa dovevo provare un HMI sul PLC del cliente e quindi ho creato una connessione di questo tipo assegnandola a una porta del Mikrotik; era come se fossi collegato in tutto e per tutto ad una porta del suo switch. 

 

Tutti i mikrotik comunque hanno identico sistema operativo; si differenziano solo per hardware, processore, memoria.

In ufficio dato che mi arrivano un bel po' di VPN non ho un mikrotik da 15€ ma un CCR che costicchia decisamente di più che però mi ospita anche il sistema di monitoraggio (il Dude) . 

[pigroplc]

radiation74,

ottima soluzione, sicuramente da approfondire in dettaglio. C'è sempre da imparare....

Se ti trovi fuori dal tuo indirizzo IP quindi ti colleghi al tuo server e dal tuo server ti colleghi al dispositivo remoto?

In tal caso quanto è il tempo di PING medio?

Te lo chiedo perché rimasi scottato con EWON dal tempo di PING per il collegamento da casa mia all'ufficio (17Km in zona MI) quando io pingavo da casa a 30-40 ms max il solito 8.8.8.8. Immagina che superava abbondantemente 1 secondo per impianti in Cina..

 

Volevo inoltre aggiungere che le licenze di Teamviewer non sono regalate e l'utilizzo in ambito lavorativo NON è consentito per la versione gratuita. Restano inoltre restrizioni temporali di utilizzo per cui teamviewer disabilita il collegamento dopo un certo tempo di utilizzo.

 

Io sono rimasto stupito da SEVIO, molto più economico di EWON e con una migliore performance di collegamento.

 

[radiation74]

Ciao,

si esatto se sono fuori ufficio faccio una VPN sul mio server e ho automaticamente tutte le rotte che ho impostato.

Che poi in realtà quello che io definisco "Server" non è altro che il Mikrotik CCR che fa da VPN server. Per mia scelta ho lasciato questo apparato dedicato a questa funzione con una subnet pubblica /29 dedicata.

Ho poi una macchina virtuale con una "zampa" su quella rete e un'altra sulla LAN del mio ufficio (che è gestito da un'altro firewall con altri indirizzi)  dove ho messo i vari software che di solito uso; di solito mi collego in RDP su quella macchina e faccio tutto.

Ma capita anche che uso altri PC collegandomi su quella rete.

 

Il PING sinceramente non l'ho mai misurato; ma dipende dalla bontà delle varie connessioni e dagli hope che si passano. Io ho quasi tutti impianti in Italia tranne un paio in Francia.

Ho appena fatto un ping sugli impianti in Francia e la latenza è variabile tra i 35 e 70ms.