VPN туннель через роутер с 3G модемом
Это статья о том, как с помощью роутера, поддерживающего 3G модемы, подключаемые в порт USB, организовать VPN туннель для устройств в локальной сети. На самом деле это всё понадобилось по одной простой причине — как оказалось, у провайдера «Интертелеком», так называемые «коробочные решения», т.е. модемы, продваемые с вшитым номером и готовым подключением, при выходе в интернет получают ip-адреса из «серого» диапазона. Из-за этого такое подключение становится непригодным для использования его снаружи — подключиться к видеонаблюдению, например, или еще какому-нибудь сервису внутри локальной сети из интернета невозможно.
В моем случае ситуация была такой: есть офис с сервером, на удаленной точке устанавливался кассовый аппарат, сервер из офиса должен делать запрос на кассовый аппарат и получать с него данные продаж. Т.е. необходимо организовать связь так, чтобы сервер видел кассу. Самый простой вариант — установить на точке роутер, в котором есть поддержка служб вроде Noip или DynDNS, подключить роутер к интернету, открыть нужный порт на кассовый аппарат. И вот тут получилась загвоздка. Выходом в интернет был 3G-модем и он при соединении с провайдером получал «серый» ip. Тогда необходим вариант посложнее, нужен vpn-сервер, нужен роутер, который сможет работать как vpn-клиент и будет делать это автоматически, без лишнего вмешательства. Идеальным вариантом мне кажется использование с обеих сторон роутеров Mikrotik, например RB751. Но есть еще одно препятствие.
Не все модемы из тех что есть в продаже подходят для использования в роутерах и наоборот, не все роутеры, которые работают с модемами, поддерживают те модемы, что есть в продаже.
Я составил список модемов, которые были в наличии у нас в магазинах и список роутеров, которые доступны, ну и соотвественно выписал списки поддерживаемых модемов для каждого роутера. У меня получилась всего одна подходящая парочка: роутер TP-link TL-MR3220 и модем Huawei EC306. Еще одно важное свойство этого роутера — для него есть прошивка OpenWrt, в которой, собственно, и есть нужные функции по поднятию vpn-туннеля.
Прошивка
Первое, что нужно будет сделать — прошить роутер. Прошивки для роутеров TP-Link лежат тут: Wiki OpenWrt
Прошивка которую использовал я: r42625, это вариант прошивки с веб-интерфейсом Luci.
На сегодняшний день актуальная версия прошивки r46767, в указанной выше уже не работают функции загрузки пакетов, вернее не работают ссылки, вшитые в прошивку.
Настройка 3G модема
После того как роутер прошит, он не будет сразу работать с модемом, для этого нужно добавить недостающие пакеты.
Чтобы добавить пакеты нужно подключить роутер к интрнету. Проще всего — вставить в wan порт кабель от другого роутера, по которому наш подопытный получит настройки по dhcp и выйдет в интернет. Можно использовать для выхода в интернет и wifi.
После того как интернет подключен заходим в раздел System — Software
Сначала нужно нажать Update lists, будет получен список доступных пакетов, в разделе Available packages выбрать необходимые:
comgt
kmod-usb2
kmod-usb-serial
kmod-usb-serial-option
kmod-usb-serial-wwan
kmod-usb-acm
usb-modeswitch
luci-proto-3g
После установки пакетов нужно вставить модем, в разделе System — Startup нужно проверить чтобы все опции запуска были включены (Enabled), и перезагрузить роутер.
После того как поддержка usb и протокол установлены нужно добавить новый сетевой интерфейс: в разделе Network — Interfaces. При создании нового интерфейса в поле выбора протокола должен быть доступен пункт UMTS/GPRS/EV-DO, после его выбора появятся поля для ввода параметров подключения: APN, username, password.
В настройках 3G интерфейса, на закладке Firewall settings нужно выбрать зону wan.
Теперь можно отключить те настройки, которые были сделаны для подключения роутера к интрнету (кабель или wifi) и перезагрузить роутер — должна установиться связь через модем.
Настройка VPN
Для vpn-подключения я использовал протокол pptp. По тому же принципу, что и при настройке модема, нужно в сетевых интерфейсах добавить новый, с использованием протокола pptp. Если такого варианта при выборе протоколов нет, нужно добавить пакеты с поддержкой этого протокола. В свойствах интерфейса нужно будет указать адрес сервера vpn, логин и пароль. На вкладке Firewall settings нужно добавить новую зону с произвольным именем, например ‘vpn’. Если всё настроено верно, после сохранения настроек роутер сразу установит связь с сервером.
Теперь нужно добавить правило для трафика между локальной сетью и vpn. В разделе Network — Firewall — Traffic rules создаем New forward rule, источник (Source zone) — lan, назначение (Destination zone) — vpn, действие (Action) — Accept. В том же разделе, на вкладке General settings для зоны VPN нужно убрать блокировку входящего и исходящего трафика и включить Masquerading.
на последней версии прошивки наблюдались проблемы при установке соединения по pptp протоколу, для устранения проблем необходимо проверить наличие и доустановить пакеты:
gre
kmod-gre
kmod-nf-nathelper-extra
Для проверки прохождения трафика через vpn можно зайти в браузере на любой сервис проверки «моего ip», должен определиться ip адрес vpn-сервера к которому мы установили подключение.
Примерно так выглядит страница со списком сетевых интерфейсов после настройки всех нужных соединений:
Открываем порты
Последний этап настройки — открываем порты по которым можно будет обратиться к устройствам снаружи через созданный туннель.
Раздел Network — Firewall — Port Forwards. У меня почему-то сразу не выбирались нужные зоны, по этому я вписал нужные порты, добавил правило и уже потом отредактировал его как надо. А надо из зоны «vpn» с порта «нужный нам внешний порт» на адрес «указываем адрес устройства в локальной сети» на порт «нужный порт на устройстве» в зоне «lan». Т.е. зона vpn это в нашем случае внешняя зона (External) а локальная сеть — внутренняя (Internal).
Теперь всё должно работать. При обращении из локальной сети vpn-сервера на клиентский ip, который получает наш роутер по настроенному порту мы попадем на нужный порт устройства, подключенного к роутеру.
Роутер 3g модем vpn
Внешний технологический модем для использования в качестве GSM модема, моста, VPN тунеля и роутера. Благодаря интерфейсу Ethernet, позволяет подключать компьютер или LAN к сети Internet/Intranet. CCU 3G (HSDPA) Router + VPN имеет интерфейс RS-232, предназначенный для передачи телеметрии приложению пользователя (программно-аппаратный прозрачный COM порт), либо связка РОУТЕР-РОУТЕР (аппаратный прозрачный COM порт) фактически заменяющая кабельное соединение двух RS-232 портов.
CCU 3G (HSDPA) Router + VPN — компактный модем/роутер для передачи данных по каналам GSM с использованием стандартов CSD, GPRS и 3G (HSDPA) на скорости до 236,8 кбит/с. Модель поддерживает диапазоны EGSM 850/900, GSM1800/1900-2100, весит всего 150 г и стабильно работает при температурах от -40 до +55С. Устройство оснащено контроллером и встроенным программным обеспечением (на базе ОС Linux) и не требует дополнительных управляющих устройств.
CCU 3G (HSDPA) Router + VPN является универсальной коммуникационной системой для промышленных и телекоммуникационных применений. Он способен объединить в единую разветвленную сеть такие типы оборудования как энергетические сети, водопровод, газовые трубы, погодные станции, подвижные объекты, удаленные офисы, POS терминалы и так далее. Он также может использоваться для корпоративного доступа в Интернет для расширения локальной сети на удаленном объекте. Система может быть использована для следующих целей.
Функциональные возможности маршрутизатора CCU 3G (HSDPA) ROUTER
- Удобный в использовании, надежный и гибок в настройке
- Поддержка двойного диапазона GPRS / 3G (HSDPA) или CDMA сети 1х
- Всегда онлайн, благодаря работе сторожевого таймера
- Часы реального времени (актуально для SCADA систем)
- Поддержка нескольких преобразований протоколов
- Поддержка информационного центра коммуникации
- Поддержка сетевого времени NTP или CDMA
- Прозрачная передача данных
- Поддержка VPN +IPSec
- Автоматическое восстановление связи с Интернет и обнаружение отсутствия канала
- Ethernet или RS-232/485 интерфейс
- Самостоятельная диагностика и сигнализация неисправности выхода/порта
- Международный промышленный EMC/EMI дизайн.
Профессиональные функции
- Встроенный DHCP-сервер в
- Firewall и NAT и NAT-T
- OSPF
- RIP (Routing Information Protocol)
- VPN клиент и сервер (PPTP, L2TP + IPSec)
- IPSec шифрование
- DMZ host
- динамический DNS
- Поддержка пакетной фильтрации
- Поддержка беспроводной передачи данных через конвертер
- Поддержка интерфейса командной строки для выполнения удаленных операций
- Поддержка BTS тестирования
- WEB / Telnet интерфейс управления
- Поддержка расписания перезагрузки
- Локальное и дистанционное обновление микропрограммного обеспечения
- Локальное / дистанционное TFTP обновление
- Локальное / дистанционное смена профилей резервного копирования и извлечения
- Срочное оповещение через SMS в случае тревоги
Применение CCU-VPN ROUTER
1. Распределения сеть контроля энергии
2. Водопровод и газопроводы линии контроля
3. Центральное отопление системы контроля
4. Метеорологические станции передачи данных
5. Гидрологические данные
6. Финансы
7. POS терминалы оплаты
8. Торговые автоматы
9. ATM банкоматы
10. Системы безопасности и контроля за дорожным движением
11. В политических целях
12. Информация о движении
13. На автоматических автостоянках и метро
14. Во всех сферах промышленности
15. Для телекоммуникационного оборудования контроля
16. Ретрансляционная станции
17. Нефтяная промышленность и прочие области сбора данных
18. Складской надзор
19. Выдача контента в такси, поездах, автобусах, метро
Типовые применения CCU-VPN ROUTER
Пример 1 : Клиент VPN и серверных приложений
CCU-VPN ROUTER поддерживает PPTP, L2TP+IPSec VPN поддерживает функции VPN. Клиент может легко создавать собственные частные сети, используя GPRS / 3G (HSDPA) / CDMA 1 х сети. Программный продукт, встроенный в функцию шифрования IPSec, также обеспечивает высокую степень безопасности и защиту каналов передачи данных пользователя. Below diagram is the typical VPN application. Ниже схема является типичной VPN применения.
Пример 2 : Центр на несколько точек
Для промышленных применений, необходимо устройство для сбора информации от разрозненных отдаленных районов. Применение показано на рисунке и представляет собой типичную схему видеонаблюдения через IP видеокамеры. Вы можете подключить к маршрутизатору любую IP камеру, а затем в настройках Сервис Центр (DSC) IP-адрес или доменное имя на CCU-VPN маршрутизатор.
Пример 3 : Маршрутизатор может быть настроен как концентратор сетевых приложений.
1. Ethernet / Трансляция данных GPRS/3G (HSDPA)/CSD.
2. Последовательный порт RS-232 / Ethernet конвертер.
3. Последовательный порт RS-232 / Трансляция данных GPRS/3G (HSDPA)/CSD.
Ethernet / Трансляция данных GPRS/3G (HSDPA)/CSD.
При подключении по локальной сети и мобильной сети (WAN), вы можете обмениваться данными через GPRS/3G (HSDPA)/CSD или CDMA 1xи получать доступ к локальной сети на через встроенный NAT (система трансляции сетевых адресов). Поэтому несколько IP- терминалов или компьютеров могут раздавать доступ в Интернет через маршрутизатор CCU-VPN ROUTER.
Последовательный порт RS-232 / Ethernet конвертер.
Многие традиционные приборы или терминалы имеют только пассивный RS-232 порт не имеют возможности обмениваться по IP. Такие приборы так же можно подключить к маршрутизатору для организации прозрачного канала связи по через IP. После этого ваш прибор станет доступным по TCP/IP интерфейсу 10/100BaseT сетевого оборудования. Это дает возможность соединить неограниченное количество пассивных приборов RS-232 в одной точке.
Характеристики CCU-VPN ROUTER
- HSDPA
- Кодек план : CS1 ~ CS4
- Выполнено в соответствии с SMG31bis спецификациями
- Поддержка IS 707 сервисов.
- Поддержка пакетной передачи данных 153kbps
- Поддержка факсимильной связи Класс 2.0 Группа 3
- CDMA 2000
- Выполнено с IS-95A, IS-95B CDMA интерфейсом
- Антенна : 50ohm/SMA/Female
- UIM/SIM-карта — 3V
- Последовательные интерфейс передачи данных RS-232(DCE) или RS-485
- Скорость передачи данных : от 300 до 115200 бит / сек
- Ethernet : 10/100BaseT/RJ45
- Конфигурационный интерфейс : WEB/RS-232
- Интерфейс тревожного выхода : TTL сигнал
- Напряжение : +5 В постоянного тока (+7,5 ~ 12VDC необязательно)
- Максимально потребляемый ток : 780mA при напряжении питания +5В
- Потребление в режиме передачи данных 50mA при напряжении питания +5В
- Габариты : 98x100x23 (не включая антенны)
- Вес : 320g
- Рабочая температура : -40 ~ +55 ° С
- Влажность : 95% (без конденсации)