WebAccess/VPN

Základní informace

WebAccess/VPN je nástroj pro správu a monitorování zabezpečeného propojení průmyslových routerů Advantech a sítí typu LAN, které jsou umístěné za těmito routery. Tento systém nabízí celou řadu služeb, mezi které patří např. možnost seskupování jednotlivých routerů do separátních skupin (nazývány jsou Networks), v rámci nichž mohou routery vzájemně komunikovat. Dále pak WebAccess/VPN umožňuje uživateli přistupovat k webovému rozhraní daného routeru z Internetu nebo přistupovat k zařízením, které jsou v síti za průmyslovým routerem Advantech.

Architektura WebAccess/VPN byla navržena tak, aby tento nástroj byl:

  •  Škálovatelný – dokáže si poradit i s tisíci routery Advantech.
  •  Flexibilní – je snadno ovladatelný, může být nainstalován přímo u zákazníka.
  •  Zabezpečený -ustojí obvyklé typy útoků (komunikace probíhá přes OpenVPN tunely).

Pro povolení přístupu lze využít 1:1 NAT. Firewall pravidla je pak možné definovat pro jednotlivá zařízení i pro celé skupiny routerů (Networks).

Technické řešení

Základním principem nástroje WebAccess/VPN je připojení všech průmyslových routerů Advantech pomocí tunelů typu OpenVPN. Lze také vytvářet pravidla pro vzájemné propojení (viz obrázek níže). Zároveň je možné pomocí VPN tunelu připojit k zabezepčené síti další zařízení jako je chytrý mobilní telefon apod.

Základními prvky WebAccess VPN jsou:

  •  Device
  •  Dispatch Server (DS)
  •  Customer Server (CS)

Pojmem Device jsou označovány průmyslové routery Advantech a ostatní VPN klienti. Dispatch Server (DS) je registrační služba, která drží aktuální IP adresu Customer Serveru (CS). Kdykoli mají průmyslové routery problém s lokalizací svého CS, mohou se obrátit na DS s aktuální adresou a přihlašovacími údaji. Dispatch Server se používá pouze v situacích, kdy router nezná adresu Customer Serveru. Customer Server (CS) je pak hlavní komunikační prvek pro připojená zařízení. Průmyslové routery jsou organizovány do skupin, které se nazývají Networks, přičemž CS nese informaci o tom, do které skupiny jednotlivé routery a s jakými dalšími zařízeními mohou komunikovat.

Jak si můžete všimnout na obrázku níže, každý průmyslový router nejprve kontaktuje Dispatch Server. Role DS je poskytnout routeru adresu Customer Serveru. Průmyslový router se poté připojí přímo k CS, což je OpenVPN server s webovým uživatelským rozhraním. CS řídí provoz a eviduje nové routery čekající na ověření. Jakmile dojde k manuální validaci administrátorem, poskytne Customer Server základní údaje pro připojení přes OpenVPN. CS si může zároveň vynutit konfiguraci LAN adres, pokud je to požadováno administrátorem. Poté už je možné manuálně přidat průmyslový router do zvolených skupin (Networks) a udělit mu tak přístup k dalším routerům a klientům v daných skupinách.