@ssman

Как организовать связь без статического IP?

Есть такая инфраструктура:
Промышленный контроллер с веб-сервером, ftp-сервером, modbus TCP (порт 502 TCP), и парой специализированных портов TCP и скорее всего UDP тоже. На контроллере работает встроенный фаерволл, вследствие чего контроллер отвечает на запросы только от IP адресов которые находятся в той же подсети что и он (т.е. в локальной сети). Наличием этого неотключаемого фаервола и обусловлена вся сложность соединения.

Контроллер подключен к интернету через промышленный 4G роутер с симкой от МТС. На роутере запущен VPN-сервер, с помощью которого возможно с любого удаленного компьютера сети интернет, подключившись по VPN, держать связь с контроллером. Когда в роутер вставлена симка со статическим IP, такая система работает и связь есть. Но теперь к сожалению нет возможности использовать симку со статическим IP из-за политики компании МТС (не больше 20 IP на компанию, и за каждый статический IP единоразовая плата при подключении 7000 руб).

Задача состоит в том, чтобы без использования статического IP наладить связь на данном объекте. Может ли кто то подсказать какие могут быть варианты? Я так понимаю такая штука как Dynamic DNS здесь не поможет т.к. IP выдаваемый МТС серый, судя по проведенным экспериментам.
  • Вопрос задан
  • 2675 просмотров
Решения вопроса 1
@rPman
В вашей схеме организации работы самая большая ошибка это вот это:
На роутере запущен VPN-сервер, с помощью которого возможно с любого удаленного компьютера сети интернет, подключившись по VPN, держать связь с контроллером.

Я не понимаю, кто вам предложил такую странную схему работы. Вы должны поднять только ОДИН VPN сервер на единственном белом (не обязательно кстати статическим но желательно) IP адресе, выбрав один (или несколько, не уверен в возможности вашего оборудования перебирать подключения при недоступности) из роутеров ведущим (его соединение с интернетом должно быть наиболее стабильным, в идеале это должен быть выделенный сервер). Все остальные роутеры должны подключаться к этому, образуя единую локальную сеть, включая тех, кто желает вашими промышленными устройствами порулить.

Т.е. ваши устройства останутся в локальной сети, ip адреса тех, кто будет рулить устройством должны выдаваться из диапазонов, в которых это допускают эти устройства.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 4
@nevzorofff
Сетевик
Отказаться от статики у МТСа, поднимать исходящий VPN с этого роутера на ваш узел со статическим адресом у адекватного провайдера, а не за 7 килорублей.
Если нет статического адреса - купить VPSку со статикой, аруба одно время за евро в месяц раздавала.
Ответ написан
Jump
@Jump
Системный администратор со стажем.
Ну во первых статический IP для данной задачи не нужен, вполне пойдет и динамический.
Главное белый чтобы был.

Если белого IP нет- подключится невозможно.
Поэтому придется для организации связи покупать самую дешевую VDSс белым IP - цена вопроса порядка 150рублей в месяц и поднимать на ней VPN сервер. А роутер заставить подключаться к этому серверу.
Ответ написан
mindtester
@mindtester
https://youtu.be/UtO6HIp1908?list=RDUtO6HIp1908
вопросы:
- а почему не пробросить кабель? (это в тундре?)
- что еще можно поднять в локалке? я VPN поднимал только на MS ISA (то есть всегда внешний ip и весь фарш), но смутно подозреваю, что можно изнутри создать VPN туннель в какое-то-всем-удобное-место (типа VPS или сервера в штаб-квартире)... или поднять внутри клиент https://ngrok.com (при условии что трафик небольшой, и тусовка с портами не слишком сложная)
Ответ написан
@generalx
Системный администратор
Вашу делему может разрешить статья https://habr.com/ru/company/ru_mts/blog/334610/
какой хороший коментарий
https://habr.com/ru/company/ru_mts/blog/334610/#co...
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы