Sziasztok
Egy céges telephelyen üzemel eg csomó PLC,amelyeknek van Ethernet interface. A teljes telephelyi hálózat tűzfal mögött van és privát tartományban üzemel.
Van egy linux-os gép is a hálózatban, ami vizualizálást végzi.
Azt szeretném megoldani, hogy a PLC programozó távolról tudja programozni a PLC-it. A PLC-k nem használnak autentikációt, a gyártó úgy gondolja, hogy elég bonyolult így is a protokoll. Nyilván nem szeretnék port forwarding-ot mivel valami script-kiddie megtalálja és brahiból meghackeli a gyártást.
Van arra módszer a Linux-os gépen, hogy autentikáció után a tűzfalról egy megadott porton érkező kéréseket egy plc felé továbbítson?
köszi,
Zamek
- 2436 megtekintés
Hozzászólások
VPN, aztán tűzfalban lehet konfigurálni hogy a VPS user mit érhet el.
Fedora 22, Thinkpad x220
- A hozzászóláshoz be kell jelentkezni
Nekem most hirtelen egy ssh-netcat-kombóval összehozott proxy ugrana be. A netcat talán ki is hagyható.
Netcat: localhost:1552 -> ssh-n keresztül futtatott másik netcat stdin -> PLC port.
Visszafelé is ki lehet építeni.
De az ssh IMHO tud kulturált tunnelt is, csak annak idején volt valami problémám vele.
Szerk: de a VPN jobb.
- A hozzászóláshoz be kell jelentkezni
vpn,
port knock,
ill. van olyan megoldás is, hogy valami authentikációval bíró CGI megnyit (majd zár) adott portot a tűzfalon.
- A hozzászóláshoz be kell jelentkezni
Nekem pedig egy sima ssh tunnel :)
- A hozzászóláshoz be kell jelentkezni
+1
-------------------------------^v-----------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"
- A hozzászóláshoz be kell jelentkezni
igen
- A hozzászóláshoz be kell jelentkezni
Köszi a jó ötleteket.
A PLC programozók windowst használnak, és a programjaik -fogalmazzunk úgy- nagyon szekántak, tehát mire az elindul, adigra ki kell épülnie az útvonalnak.
Erre talán tényleg a vpn lenne nyerő.
- A hozzászóláshoz be kell jelentkezni
Tűzfallal védett MS Windows PC, amire a PLC programozó távoli asztallal belép és onnét tudja már a helyi hálózaton lévő PLC-ket programozni.
A PLC-hez szükséges programok/kódok telepítve vannak a PC-n.
Én így csináltam és remekül működik, VPN-n nélkül.
- A hozzászóláshoz be kell jelentkezni
Komolyan érdekelne részletesebben a megoldás olyan peremfeltételekkel, hogy a PLC programozón kívül más ne érjen el a távoli asztal bejelentkezéséig és a programozónak nincs fix ip-je.
- A hozzászóláshoz be kell jelentkezni
--
- A hozzászóláshoz be kell jelentkezni
Talán egy one-time sequence port knockinggal megoldható lenne.
- A hozzászóláshoz be kell jelentkezni
Koszi, de amennyire lehet nem szeretnek windowsokat latni.
Az hogy a programozas erejeig vpn-en keresztul hozzafer tavolrol az belefer, de belul uzemszeruen nem kell winfutyi.
- A hozzászóláshoz be kell jelentkezni