Interconnessione di PLC Modbus via VPN su 3G - Digicom

8E4510, FW41IP5-U018E4511, FW412P16-U018E4502, 3G Industrial Pro RS2328E4506, 3G Industrial Pro RS485Interconnessione di PLC Modbus via VPN su 3GQuesta guida descrive l’interconnessione di una rete centrale a due postazioni remote attraversotunnel VPN IPSec originati da Router 3G Industrial Pro (8E4502/8E4506) e terminato su un VPNServer FW42IP16-U01. Scopo dell’interconnessione delle reti è il controllo di PLC con protocolloModbus interfacciati attraverso la seriale RS232 o RS485 del Router 3G.Un sistema di controllo Master presente sul sito A interrogherà i PLC remoti Slave presenti sui sitiB e C.PresuppostiConnessione Internet: entrambe le sedi remote sono connesse attraverso una router 3GIndirizzi IP sulle reti remote: appartenenti a Subnet diverseIndirizzamento globale: la sede A ha attivo un DDNS sul router 3G, le sedi B e C ha un IP dinamicoL’attivazione del tunnel VPN avviene sempre e soltanto dai siti B e C verso il sito AGli indirizzamenti in essere sono mostrati sul seguente schema.1/8

Configurazione 3G Router (A)Virtual ServerEssendo il router 3G in modalità NAT, sarà necessario attivare un Virtual Server della porta500:UDP per permettere l’instaurazione dei tunnel VPN e, a titolo d’esempio, l’apertura dellaporta TCP: 8181 per la gestione HTTP remota del Firewall.Dynamic DNSPer permettere a siti B e C di indirizzare il tunnel VPN verso un indirizzo IP (o URL) globale ènecessaria l’attivazione di un account DDNS, in questo esempio c01.ns0.it, e la relativaconfigurazione nel router 3G.3/8

Configurazione 3G Router (B)Configurazione SerialeImpostiamo la velocità ed il formato da utilizzare sulla porta seriale.Configurazione ModbusIl router 3G metterà a disposizione i dati provenienti dalla porta seriale del PLC attraverso unsocket TCP sul proprio indirizzo di LAN 192.168.5.100:502, in modalità Network Bridge.4/8

Policy VPNLa policy VPN verso il sito A punterà all’indirizzo IP globale remoto DDNS c01.ns0.it.Da notare la sintassi Remote ID, FQDN che aggiunge automaticamente un ‘@’ di fronte all’URLc01.ns0.it. Questo carattere non è da inserire nella policy del lato A.In fase di test è consigliabile disattivare il parametro Restart WAN when failed checauserebbe un ciclico reset della connessione 3G se il tunnel VPN non si stabilisce.Attivare questa opzione solamente una volta verificato il corretto instaurarsi del tunnelper far si che il sistema riavvii automaticamente la connessione 3G se il tunnel dovesse cadere.5/8

Configurazione 3G Router (C)Configurazione SerialeImpostiamo la velocità ed il formato da utilizzare sulla porta seriale.Configurazione ModbusIl router 3G metterà a disposizione i dati provenienti dalla porta seriale del PLC attraverso unsocket TCP sul proprio indirizzo di LAN 192.168.7.100:502, in modalità Network Bridge.Policy VPNLa policy VPN verso il sito A punterà all’indirizzo IP globale remoto DDNS c01.ns0.it.Da notare la sintassi Remote ID, FQDN che aggiunge automaticamente un ‘@’ di fronte all’URLc01.ns0.it. Questo carattere non è da inserire nella policy del lato A.6/8

In fase di test è consigliabile disattivare il parametro Restart WAN when failed checauserebbe un ciclico reset della connessione 3G se il tunnel VPN non si stabilisce.Attivare questa opzione solamente una volta verificato il corretto instaurarsi del tunnelper far si che il sistema riavvii automaticamente la connessione 3G se il tunnel dovesse cadere.7/8

Una volta stabilito il tunnel VPN, ecco lo stato delle connessioni IPSec sul Firewall (A)e la comunicazione tra Master e Slave Modbus8/8