viernes, 20 de octubre de 2017

¿Por qué necesito crear una VPN en mi router industrial 3G/4G?

El primer motivo que nos viene a la cabeza es obvio. Para securizar nuestras comunicaciones y evitar posibles ataques e interferencias.

Sin embargo, podemos encontrar otros motivos aún más poderosos ya que el establecimiento de un túnel VPN puede ser la única forma de poder comunicar nuestro software SCADA con los autómatas en la instalación remota.

Las conexiones a Internet son ruteadas de forma que nuestro router se conecta con una IP pública en unos rangos diferentes a los equipos que cuelgan de sus interfaces LAN y que están en rangos privados. Como consecuencia, el router realiza las funciones de NAT (Network Address Translation o traslación de direcciones) entre Internet y nuestros equipos. Este mecanismo se produce en ambos extremos, es decir, tanto en el SCADA como en el router móvil de conexión a la red de autómatas remotos.

Debido a lo anterior, la conexión remota a través de Internet nos obliga a acceder a cualquier autómata a través de una única dirección IP (la dirección WAN del router móvil) teniendo que seleccionar el autómata concreto con el que queremos comunicar a través de un puerto TCP o UDP específico y configurando el port-forwarding correspondiente a estos puertos en el router remoto. Algunos SCADA pueden no tener esta flexibilidad a la hora de configurar los puertos de comunicación para protocolos estándar como MODBUS TCP que utilizan puertos ya predefinidos.

También en el otro extremo, debemos configurar los autómatas con una dirección IP de gateway apuntando a la intefaz LAN del router móvil y así encaminar las respuestas al SCADA a través de Internet. Esta configuración puede no ser posible en autómatas antiguos y en cualquier caso nos obliga a configurar uno a uno todos los autómatas de nuestra instalación.

A través de la creación de un túnel VPN entre el puesto donde se ejecuta el SCADA y el router remoto solucionamos todos los anteriores inconvenientes ya que dicho túnel permite conectar en un mismo segmento LAN los autómatas remotos y el SCADA central. De esta forma no necesitamos configuración alguna pudiendo ejecutar el software como si lo tuviéramos conectado localmente en nuestra instalación.

Windows, en sus últimas versiones, ya incorpora un cliente VPN con soporte PPTP y L2TP por cuanto la configuración del túnel entre nuestro SCADA y el router remoto es un proceso rápido y sencillo.


En algunos casos, el túnel VPN será nuestra única opción de fucionamiento. Si tenemos en el router una SIM de un operador que no admite NAT, que usa un Proxy para las conexiones o que simplemente no acepta conexiones entrantes, entonces no es posible acceder desde nuestro SCADA al router remoto a través de la IP pública de éste.

La única solución consiste en crear de nuevo un túnel VPN entre nuestro router y el SCADA pero a diferencia del ejemplo anterior, ahora deberemos configurar el cliente VPN en el router para que una vez conectado a Internet establezca dicho túnel a través de una conexión saliente con nuestro servidor VPN.

Windows no incorpora un servidor VPN pero es posible encontrar softwares libres para OpenVPN u otros protocolos en Internet. Como alternativa, podemos usar cualquier router RUT9XX o RUT2XX de Teltonika como servidor VPN y no necesariamente insertando una tarjeta SIM sino a través de su puerto WAN RJ45. De esta forma podemos conectarlo en la DMZ de nuestro router ADSL de salida a Internet y usarlo como servidor VPN para terminar los túneles establecidos por los diferentes routers remotos.

1 comentario:

José Ramón Salvador dijo...
Este comentario ha sido eliminado por un administrador del blog.