A A A
| Sitemap | Kontakt | Impressum | Datenschutz
ETZ Logo VDE Verlag Logo

VPN-Fernwartung auch ohne Portal

Bild 1. Das ISK-Automation-Angebot für die VPN-Wartung: UMTS-Router, VPN-Server und industrielles ADSL-Modem

Bild 2. Die Verbindung zwischen Client und Server via Mobilfunk-Router

Bild 3. Server-Namenszuweisuzng per Dyn-DNS-Dienst

Bei kleinen Anlagen oder bei einzelnen Fernwartungs-Verbindungen muss für eine VPN-gesicherte Fernverbindung nicht zwangsläufig ein dediziertes VPN-Portal zum Einsatz kommen. Unter der Voraussetzung, dass in der Zentrale ein Internetanschluss mit einer öffentlichen IP-Adresse vorhanden ist, kann ein kompakter VPN-Server mit bis zu acht externen Routern gleichzeitig einen VPN-gesicherten Kommunikationskanal aufbauen. Durch den Einsatz von vorkonfigurierten Komponenten, wie ISK Automation sie anbietet, lassen sich somit kleinere Fernwirk- und Fernwartungslösungen ohne spezielles Know-how verwirklichen.

Die internetbasierte Datenübertragung ist aus der modernen Automatisierung nicht mehr wegzudenken. Dabei sind die Anforderungen bezüglich Geschwindigkeit und Datenvolumen im Automatisierungsbereich in den letzten Jahren exponentiell gestiegen. Nur das Internet bietet mit TCP/IP einen weltweit einheitlichen Standard und ist hinsichtlich der Kosten und der Verfügbarkeit alternativlos.
Neben den klassischen drahtgebunden Internetzugängen wird mit der flächendeckenden UMTS-Versorgung (Universal Mobile Telecommunications System) der Einsatz der Mobilfunktechnik mit unbegrenztem Datenvolumen (Flatrate) eine immer interessantere Alternative zu DSL (Digital Subscriber Line). Nicht nur in Infrastrukturanwendungen zur Ankopplung entlegener Außenstationen ist die Mobilfunk-Datenübertragung gut geeignet, sondern auch für die Maschinenfernwartung. Hier bietet die Mobilfunktechnik die Möglichkeit, Fernwartung ohne einen Eingriff in das kundeneigene Netzwerk zu betreiben.
Wichtig ist dabei, sicherheitsrelevante Daten nicht ungeschützt über das Netz zu transportieren, da sie ausspioniert oder manipuliert werden könnten. Eine Möglichkeit des Schutzes stellen VPN-Tunnel dar. Dabei handelt es sich um virtuelle Punkt-zu-Punkt-Verbindungen, die zwischen den eigenen Netzwerkteilnehmern aufgebaut werden und gleichzeitig die Daten darüber verschlüsselt übertragen.

Fixe IP-Adressen oder Portal-Zugang?
Die Mobilfunktechnik hat keine sichtbaren IP-Adressen, da hierfür der Adressvorrat von „IPv4“ nicht ausreichen würde. Statt dessen wird mit temporären, sogenannten privaten IP-Adressen, gearbeitet. Demnach ist es technisch nicht möglich, Geräte im Mobilfunknetz über das Internet direkt abzufragen und in Prozesse zu integrieren. Aus diesem Grund sind zum Überwachen von Anlagen oder zum Steuern von Produktionsprozessen zusätzliche Hürden zu überwinden. Mobile Endgeräte sind aus dem Internet nicht erreichbar, da sie in abgeschlossene private IP-Netze eingebunden sind und die Betreiber der Mobilfunknetze in der Regel den Zugang beschränken. Zudem sind den Geräten dynamische IP-Adressen zugewiesen, die sich stetig ändern.
Um dieses Manko zu umgehen, bieten Mobilfunk-Provider spezielle Verträge mit festen IP-Adressen an. Sie sind jedoch oft im Datenvolumen limitiert und mit zusätzlichen monatlichen Kosten verbunden. Einen anderen Lösungsansatz stellen die sogenannten Portale dar, die eine feste IP-Adresse im Internet haben und auf die sich alle Mobilfunk-Router verbinden. Dieses Verfahren basiert auf einer Client-Server-Architektur, bei der der Portalrechner als Server fungiert und sich alle Mobilfunk-Router als Clients darauf verbinden (Bild 2). Da ein Portal immer auf einem ausgelagerten Rechner mit einer festen Netzwerkadresse installiert ist, fallen beim Betrieb eines solchen Servers laufende Kosten an, zum Beispiel für den Portal-Dienstleister oder für den Betrieb und die Wartung eines eigenen Servers.

Das Client-Server-Prinzip weitergedacht, ist es bei kleinen bis mittelgroßen Systemen möglich, ohne ein gesondertes Portal auszukommen. Bei Systemen, die von einer zentralen Stelle aus mehrere außerhalb liegende Stationen ansprechen sollen, kann der zentrale Router gleichzeitig die Rolle des VPN-Servers übernehmen, um somit ein Portal zu ersetzen. Damit das gelingt, wird der zentrale Router über einen vorhandenen DSL-Anschluss mit fester IP-Adresse mit dem Internet verbunden. Diese Adresse wird bei allen außen liegenden Client-Routern als Zieladresse eingetragen. Diese verbinden sich dann automatisch als Clients auf „ihren“ VPN-Server.
Existiert bereits ein Netzwerk mit Internetanschluss, wird der VPN-Server auch in das vorhandene Netzwerk integriert. Er verbindet sich über den vorhandenen Internet-Router mit dem Internet. Falls der Internetzugang über ein bereits vorhandenes Netzwerk realisiert werden soll, wird der Net-Net-Router CR-220 (Bild 1) an einen Switch in dem vorhandenen Netzwerk oder einen freien Anschluss beim vorhandenen Internet-Router angeschlossen. Jeder DSL-Anschluss hat eine „Public-IP“, das heißt eine im Internet sichtbare IP-Adresse, die meist als WAN-IP bezeichnet wird. Je nach Internet-Provider besteht die Möglichkeit, eine solche WAN-IP als fixe Adresse zu erhalten. Das bedeutet, dass diese Adresse immer gleich bleibt und von überall aus dem Internet angesprochen werden kann. Wird dieser Service nicht vom Internet-Provider angeboten, kann die öffentliche Public-IP-Adresse des DSL-Anschlusses genutzt werden, die sich in der Regel alle 24 h ändert.

Eindeutige Namen per DNS-Dienst
Da man diese IP-Adresse nicht kennt und von außen über das Internet trotzdem immer den VPN-Server ansprechen möchte, muss in diesem Fall eine Namenszuweisung für den DSL-Anschluss über einen DNS-Dienst eingerichtet werden. Mit diesem Dienst wird einem DSL-Anschluss mit dem dynamischen DNS-Verfahren ein eindeutiger Name zugeordnet, der unabhängig von der aktuellen IP-Adresse immer gleichbleibt und von allen DNS-Servern im Internet auf die momentane IP-Adresse dieses DSL-Anschlusses geleitet wird (Bild 3). Einer der bekanntesten Dienstanbieter hierfür ist Dyn-DNS. Er realisiert gegen eine relativ geringe Jahresgebühr die Zuordnung im Internet. Falls keine hohen Ansprüche an eine ständige Verfügbarkeit gestellt werden, kann auch mit einer kostenlosen Dyn-DNS-Anwendung gearbeitet werden.
Die Einrichtung eines Dyn-DNS gestaltet sich relativ einfach und ist komplett online über das Internet durchführbar. Hier kann ein individueller Name für den DSL-Anschluss des VPN-Servers vergeben und ein Account angelegt werden, dessen Zugangsdaten in den VPN-Server eingetragen werden. Anschließend trägt man bei jedem Client den gewählten Name für den VPN-Server ein, damit ein VPN-Tunnel zum Server aufgebaut wird.
Der Vorteil des eigenen zentralen VPN-Servers besteht darin, dass nur die laufenden Kosten für die DNS-Namenszuweisung des einzelnen zentralen Servers anfallen. Dem steht die Tatsache gegenüber, dass eine portalbasierte Lösung komfortabler bei der Inbetriebnahme ist und spätere Änderungen leichter durchführbar sind. Um hier den Aufwand zu begrenzen, wurde ein Komplettpaket mit vorkonfigurierten Routern entwickelt, das aus dem fertig eingerichteten VPN-Server und einem mitgelieferten Schlüsselsatz für acht Client-Router besteht.

Komplettpaket für schnelle Inbetriebnahme
Für die Anwendung in der Automatisierungstechnik oder für Infrastrukturanwendungen wird der Net-Net-Router CR-220 als kompaktes Gerät für den Schaltschrank-Einbau sowohl als VPN-Server als auch als Client für die Außenstationen eingesetzt. Da jeder VPN-Router auf der Client-Seite ein ganzes Ethernet-Subnet per Internet zugreifbar macht, ist dieses System mit allen Steuerungen und Geräten, die über eine Ethernet-Schnittstelle verfügen, einsetzbar. Für jeden VPN-Server wird ein komplettes Projekt angelegt und auf einem Datenträger mitgeliefert. Damit werden alle Daten für insgesamt acht Clients fertig vorkonfiguriert bereitgestellt und somit die Inbetriebnahme vereinfacht.
Jeder ISK-Router ist bereits werkseitig mit allen erforderlichen X509-Zertifikaten für den Aufbau eines sicheren VPN-Tunnels ausgestattet. Somit sind für den VPN-Betrieb keine Konfigurationen mehr an den Routern erforderlich. Für den Zugriff via Laptop oder Smartphone können die mitgelieferten Zertifikate genutzt werden, ohne dass ein separater Router benötigt wird. Hierzu wird auf den Laptop ein Open-VPN-Client als Software installiert und diesem Programm ein freier Lizenzschlüssel übergeben. Damit kann dieser Laptop auf den VPN-Server in der Zentrale und auch auf alle Clients zugreifen. Hierzu sind die Zugriffsrechte noch individuell einrichtbar.

Auf einen CR-220-Server lassen sich bis zu acht Client-Router verbinden. Alle Client-Router sind für diesen Server bereits fertig vorkonfiguriert. Da jeder Client-Router auf seiner LAN-Seite mit einer festen IP ausgestattet ist, muss bei allen angeschlossenen Ethernet-Geräten diese Adresse als Gateway eingetragen werden. Das Ethernet-Netzwerk, an dem die Geräte, die mit der Zentrale kommunizieren sollen, angeschlossen sind, wird immer auf die vorgegebene Subnet-Adresse des Client-Routers eingestellt. Dieses Verfahren hat den Vorteil, dass der Anwender nicht den Router konfigurieren muss, sondern er alle Netzwerk-Einstellungen auf der ihm besser vertrauten Steuerung erledigen kann.
Die Client-Router sind entweder für den Internet-Zugang per DSL (CR-220 als Client) oder als Mobilfunk-Router, der per UMTS oder GPRS auf das Internet zugreift, verfügbar. Eine besondere Variante für die Gebäudeautomation ist mit dem Router FR-100 gegeben. Bei der Nutzung der Mobilfunk-Dienste kommen kompakte GPRS- oder UMTS-Router, wie der CR-230U, zum Einsatz. Diese Geräte unterstützen alle weltweit relevanten Mobilfunkstandards und sind konsequent für den industriellen Einsatz ausgelegt.

Fazit
Zur Realisierung einer internetbasierten Datenübertragung für kleinere Applikationen stellt die Client-Server-Architektur, die ohne spezielle Verträge für fixe IP oder Portaldienste auskommt, eine gute Lösung dar. Der Vorteil eines eigenen zentralen VPN-Servers liegt darin, dass nur geringe laufende Kosten für die Namenszuweisung des einzelnen zentralen Servers und nicht, wie bei einem Portal, für jeden Teilnehmer anfallen. Um den Aufwand bei der Inbetriebnahme zu begrenzen, hat ISK Automation in Kooperation mit INC-Consult ein Komplettpaket mit vorkonfigurierten Routern entwickelt, das aus einem fertig eingerichteten VPN-Server und vorgefertigten Set-ups für acht Client-Router besteht.

Der Beitrag als pdf

Autor: Dipl.-Ing. Stefan Körte ist Berater und Produktmanager bei der ISK Automation GmbH in Rheinmünster.