Как организовать связь без статического IP?

Question

[ssman]

Есть такая инфраструктура:
Промышленный контроллер с веб-сервером, ftp-сервером, modbus TCP (порт 502 TCP), и парой специализированных портов TCP и скорее всего UDP тоже. На контроллере работает встроенный фаерволл, вследствие чего контроллер отвечает на запросы только от IP адресов которые находятся в той же подсети что и он (т.е. в локальной сети). Наличием этого неотключаемого фаервола и обусловлена вся сложность соединения.

Контроллер подключен к интернету через промышленный 4G роутер с симкой от МТС. На роутере запущен VPN-сервер, с помощью которого возможно с любого удаленного компьютера сети интернет, подключившись по VPN, держать связь с контроллером. Когда в роутер вставлена симка со статическим IP, такая система работает и связь есть. Но теперь к сожалению нет возможности использовать симку со статическим IP из-за политики компании МТС (не больше 20 IP на компанию, и за каждый статический IP единоразовая плата при подключении 7000 руб).

Задача состоит в том, чтобы без использования статического IP наладить связь на данном объекте. Может ли кто то подсказать какие могут быть варианты? Я так понимаю такая штука как Dynamic DNS здесь не поможет т.к. IP выдаваемый МТС серый, судя по проведенным экспериментам.

Comments

[Rsa97]

А что, другие провайдеры не предлагают статических адресов? Теле2, Мегафон?

[ssman]

Rsa97, Думаю что предлагают, но есть 2 сложности:
1) От МТС точно хорошая сила сигнала и связь без обрывов в том месте (это область, не город). Билайн вообще никак не подойдет, Теле2, Мегафон не было возможности опробовать
2) Я так понимаю что ограничения по выдаче стат. IPv4 это общий тренд т.к. они кончаются, поэтому думаю имеет смысл заранее максимально уйти от их использования, чтобы в будущем текущая история не повторялась с другими операторами связи

[Ezhyg]

Но теперь к сожалению нет возможности использовать симку со статическим IP из-за политики компании МТС (не больше 20 IP на компанию, и за каждый статический IP единоразовая плата при подключении 7000 руб).

Это ты просто невнятно произнёс слова - "мы можем уйти, опсосов ещё 3 штуки"
Ну или чуть подробнее - "Вы там вконец упоролись от жадности?! СЕМЬ матьихтыщь денег за банальный статический адрес не просят нигде (ну... может в Антарктиде), поэтому - либо вы соглашаетесь на наши условия, либо мы уходим, на раздумья у вас три дня."
И это я не шучу! Набираешься наглости, звонишь и ставишь их перед фактами:
первый - у вас "договор", что означает, что две стороны договариваются, а не одна из сторон диктует свои условия
второй - если прямо не сказать, что они охренели, они так и будут не понимать
третий - ясно ставить перед фактом, что краснояйцевые - не единственный оператор связи

[#]

а кабель туда ни как?

[АртемЪ]

Ezhyg, После чего тебе вежливо но твердо объясняют, что МТС компания большая, таких требовательных клиентов миллионы, всем не угодишь, и если вы не VIP клиент, который тратит хотя бы 10 миллион долларов в месяц связь, то можете идти к любому оператору - скатертью дорога.

[ssman]

#, кабель к сожалению никак. Да и даже если бы был кабель, нет гарантии что у них найдется белый IP..

[Ezhyg]

АртемЪ, не скажут. А после озвученных их "хотелок", можно смело будет писать и в роскомнадзор, и в суд. Хотя они и этого не скажут, не рискнут.

Answer 1

[rPman]

В вашей схеме организации работы самая большая ошибка это вот это:

На роутере запущен VPN-сервер, с помощью которого возможно с любого удаленного компьютера сети интернет, подключившись по VPN, держать связь с контроллером.

Я не понимаю, кто вам предложил такую странную схему работы. Вы должны поднять только ОДИН VPN сервер на единственном белом (не обязательно кстати статическим но желательно) IP адресе, выбрав один (или несколько, не уверен в возможности вашего оборудования перебирать подключения при недоступности) из роутеров ведущим (его соединение с интернетом должно быть наиболее стабильным, в идеале это должен быть выделенный сервер). Все остальные роутеры должны подключаться к этому, образуя единую локальную сеть, включая тех, кто желает вашими промышленными устройствами порулить.

Т.е. ваши устройства останутся в локальной сети, ip адреса тех, кто будет рулить устройством должны выдаваться из диапазонов, в которых это допускают эти устройства.

Answer 2

[Николай]

Отказаться от статики у МТСа, поднимать исходящий VPN с этого роутера на ваш узел со статическим адресом у адекватного провайдера, а не за 7 килорублей.
Если нет статического адреса - купить VPSку со статикой, аруба одно время за евро в месяц раздавала.

Comments

[20ivs]

аруба уже 2.79. кто успел когда-то по 1 евро, тот на этом тарифе и остался.

Answer 3

[АртемЪ]

Ну во первых статический IP для данной задачи не нужен, вполне пойдет и динамический.
Главное белый чтобы был.

Если белого IP нет- подключится невозможно.
Поэтому придется для организации связи покупать самую дешевую VDSс белым IP - цена вопроса порядка 150рублей в месяц и поднимать на ней VPN сервер. А роутер заставить подключаться к этому серверу.

Comments

[ssman]

Белого IP тоже нет.
А я правильно понимаю что если покупать VDS, то на ней будет unix-подобная ОС? Подскажите, а для человека владеющего сетевыми технологиями лишь поверхностно не будет ли это слишком сложно? С никсами к сожалению вообще не знаком. Будет ли проще взять какой нибудь старый системник, подключить его к интернету со статическим IP (не МТС а нормальный проводной интернет), установить на него Windows Server и запустить VPN-сервер, к которому как клиент будет подсоединяться роутер?

[АртемЪ]

ssman,

А я правильно понимаю что если покупать VDS, то на ней будет unix-подобная ОС?

Да. Именно она и нужна.

Подскажите, а для человека владеющего сетевыми технологиями лишь поверхностно не будет ли это слишком сложно?

Ну в принципе обладая знаниями на уровне опытного пользователя по мануалам в сети можно поднять простейший VPN, но если какие-то проблемы возникнут будет сложно.
Проще попросить кого нибудь настроить.

Будет ли проще взять какой нибудь старый системник

Смотря кому. Мне например не проще, да и дороже обойдется старый системник чисто по оплате электроэнергии чем VPS.
Если дома есть статический IP - можно взять роутер микротик и поднять на нем VPN.

Сервер поднять легко на чем угодно, что на виндовс, что на линукс, что на роутере.
Проблема настроить маршрутизацию обычно, а на windows это даже сложнее.

Answer 4

[#]

вопросы:
- а почему не пробросить кабель? (это в тундре?)
- что еще можно поднять в локалке? я VPN поднимал только на MS ISA (то есть всегда внешний ip и весь фарш), но смутно подозреваю, что можно изнутри создать VPN туннель в какое-то-всем-удобное-место (типа VPS или сервера в штаб-квартире)... или поднять внутри клиент https://ngrok.com (при условии что трафик небольшой, и тусовка с портами не слишком сложная)

Comments

[ssman]

Мы можем поднять что нибудь если только на роутере, что-то из стандартных сервисов, хотя возможно там можно и что то своё установить. В локалке только одно устройство и это контроллер.
А вы не подскажете в двух словах как работает этот ngrok?

[#]

ssman, ngrok запускается как обычное приложение в обычной ОС (винда или линукс), читает свои конфиги, и устанавливает сокеты со своим головным севером. тот создает поддомен (по имени выбраному при регистариции) и там публикует порты к сокетам, согласно конфигов.

работает все на ура. но не следует ожидать бесплатного большого трафика (а сервис изначально бесплатный))

Answer 5

[Сайпутдин Омаров]

Вашу делему может разрешить статья https://habr.com/ru/company/ru_mts/blog/334610/
какой хороший коментарий
https://habr.com/ru/company/ru_mts/blog/334610/#co...

Comments

[Сайпутдин Омаров]

из опыта: в Мегафоне у нас было 7 подключений 2009 году, мы подключались к ним по IPSEC, а на модемах был прописан свой apn, соответственно все маршрутизировалось до конечного оборудования. не нужно было никаких статичных айпи.