Материал из for iRidium developers
Перейти к: навигация, поиск
Other languages:
English • ‎русский

Управление оборудованием через интернет

Общие инструкции по использованию статического IP адреса, службы DDNS, а также настройке NAT, Port Forwarding при подключении i3 pro и iRdium Server к управляемому оборудованию через интернет


Способы подключения iRidium к оборудованию

Приложение i3 pro и iRdium Server может подключиться для управления и получения данных к физически удаленному оборудованию. Но, для этого требуются некоторые настройки вашего сетевого оборудования (роутера). Рассмотрим способы удаленного управления оборудованием с помощью i3 pro и iRdium Server:


Подключение через статический IP адрес в интернете

i3 pro или iRdium Server могут подключиться к удаленному роутеру (а через него к оборудованию) с помощью IP адреса роутера в интернете, при условии, что он не меняется, т.е. является статическим.


1 Получение статического IP адреса в интернете

Статический IP адрес в интернете может присвоить вашему IP роутеру только интернет-провайдер. Если вы используете мобильный интернет, присвоение статического адреса невозможно, перейдите к следующему варианту (DDNS).

Постоянный IP адрес в интернете называют "внешним статическим" или "белым", его наличие означает, что к вашему роутеру можно подключиться из любой точки мира и его адрес не изменится.

Какой у меня адрес в интернете? (адрес будет меняться, если он не статический)


Не все интернет-провайдеры предоставляют услугу статического IP адреса. Но, если интернет-провайдер предоставил эту услугу, воспользуйтесь инструкцией провайдера по настройке роутера для работы со статическим адресом.

Следующим шагом будет обеспечение доступа через роутер к оборудованию - настройка службы NAT и Port Forwarding.


2 Настройка службы Nat, PortForwarding на роутере

Служба NAT обеспечивает передачу данных, отправленных роутеру из внешней сети, в локальную сеть. Если правила передачи данных не настроены, команды не будут переданы никуда дальше вашего роутера.

NAT (Network Address Translation) - служба трансляции IP адресов внутренней сети в IP адреса внешней сети. Перед тем, как приступать к настройке NAT, выдайте оборудованию статические локальные IP адреса


Принцип перенаправления данных из внешней сети во внутреннюю:

Port Forvarding Scheme.png
  1. удаленное устройство отправляет команду на адрес роутера в Интернете и "внешний" порт оборудования, указанный в таблице перенаправления данных
  2. роутер перенаправляет команду на устройство в локальной сети, указанное в таблице перенаправления
  3. команда выполняется устройством


Количество "правил" перенаправления на роутере нужно настроить исходя из того, какие устройства локальной сети должны получать данные или команды из интернета.

Настроим на примере роутера D-Link одно правило перенаправления (каждому устройству сети нужно свое правило):

Port Forvarding Example.png
  1. "IP Address" - локальный IP адрес устройства, на которое вы хотите направить команды из интернета
  2. "Public Port" - порт, на который нужно будет отправить команду из интернета, чтобы она пришла на устройство
  3. "Private Port" - реальный порт оборудования, которое принимает команды (может отличаться от "Public Port")
  4. "Traffic Type" - разрешенный протокол соединения между отправителем и получателем команд (TCP или UDP)


например Провайдер выдал вашему роутеру публичный статический IP адрес 215.110.10.15. Вы настроили на роутере правило переадресации данных с внешнего TCP порта 8080 на внутренний TCP порт 80 адреса 192.168.0.100, который является адресом оборудования.

Чтобы подключиться к оборудованию через интернет, в настройках подключения нужно указать:
Host: 215.110.10.15, Port: 8080

Чтобы подключиться к оборудованию из той же (локальной) сети, где оно находится, нужно указать:
Host: 192.168.0.100, Port: 80


ВНИМАНИЕ Потенциальная проблема безопасности при использовании Port Forwarding!

Открытый порт на роутере означает, что к вашему оборудованию может подключиться кто угодно, если обнаружит открытый порт и выяснит тип оборудования. Этой проблемы не избежать, т.к. она обусловлена самой технологией обеспечения связи с удаленными устройствами через открытый на роутере порт.

Соблюдайте базовые меры безопасности:

  • не открывайте удаленный доступ к камерам, не защищенным сложным паролем
  • не открывайте удаленный доступ к оборудованию, не защищенному сложным паролем
  • старайтесь выбирать внешний порт оборудования, отличный от стандартного, чтобы усложнить определение типа оборудования для злоумышленника
  • или используйте технологию VPN, которая лишена недостатков Port Forwarding и обеспечивает безопасность инфраструктуры объекта автоматизации


Подключение через субдомен DDNS - без статического IP адреса

i3 pro или iRdium Server могут подключиться к удаленному роутеру с помощью доменного имени, выданного роутеру сервисом DDNS. Доменное имя используют, если интернет-провайдер не предоставляет услугу статического IP адреса, или если вы пользуетесь мобильным интернетом.

В отсутствие статического внешнего адреса, IP адрес вашего роутера в интернете будет постоянно меняться - такой адрес называется "динамический". Смена адреса приводит к тому, что программа управления не может обратиться к оборудованию по внешнему IP адресу роутера, т.к. он периодически теряет актуальность.


В решении проблемы динамического IP адреса поможет услуга компаний, предоставляющих службу динамического DNS (DDNS, или иначе DynDNS). Она применяется для назначения постоянного доменного имени роутеру с динамическим IP-адресом. Услугу предоставляют несколько компаний: No-IP, DynDNS и др.


Рассмотрим присвоение роутеру субдомена с помощью платного сервиса No-IP. Вам предстоит 3 этапа настройки:

  1. Зарегистрировать субдомен на сайте, предоставляющем услугу DDNS
  2. Настроить службу DDNS на роутере
  3. Настроить службу Nat, PortForwarding на роутере


1 Регистрация аккаунта и субдомена на сайте No-IP

NoIpRegister1.png
NoIpRegister2.png
NoIpRegister3.png
  1. Зарегистрируйте новый аккаунт на сайте No-IP. При регистрации аккаунта выберите адрес субдомена - именно этот адрес можно будет использовать в качестве адреса вашего роутера. Например: i3pro.hopto.org
  2. Подтвердите регистрацию аккаунта (код подтверждения придет по E-mail). Вам станет доступно управление доменами через вкладку "Managed DNS"
  3. Субдомен, зарегистрированный при создании аккаунта, уже активен. Имя субдомена понадобится при настройке роутера


Обратите внимание, что в бесплатном аккаунте No-IP субдомен нужно продлевать каждый месяц (нажимать кнопку продления на сайте), иначе он перестанет работать. Вы можете оплатить подписку на 1 год и более, чтобы создать множество доменов, которые будут работать постоянно. Условия подписки см. на сайте.


2 Настройка роутера для работы со службой DDNS от No-IP

Убедитесь, что ваш роутер поддерживает DDNS. Путь к настройкам DDNS зависит от модели и производителя роутера. Несколько примеров:

DdnsOnRourer1.png
DdnsOnRourer2.png
DdnsOnRourer3.png
DdnsOnRourer4.png

Вне зависимости от модели роутера, настройки DDNS примерно одинаковы:

  1. "Enable the DDNS Client" - активирует службу на роутере
  2. "Server" - сервер провайдера услуги DDNS, в нашем случае: WWW.NO-IP.COM
  3. "User Name or E-mail Address" - логин или email, который вы указали при регистрации аккаунта на сайте No-IP
  4. "Password" - ваш пароль от аккаунта на сайте No-IP


После сохранения настроек DDNS, ваш роутер будет периодически сообщать сайту No-IP свой IP адрес в интернете, а сайт No-IP будет перенаправлять на роутер данные, отправленные на адрес субдомена.


3 Настройка службы Nat, PortForwarding на роутере

Служба NAT обеспечивает передачу данных, отправленных роутеру из внешней сети, в локальную сеть. Если правила передачи данных не настроены, команды не будут переданы никуда дальше вашего роутера.

NAT (Network Address Translation) - служба трансляции IP адресов внутренней сети в IP адреса внешней сети. Перед тем, как приступать к настройке NAT, выдайте оборудованию статические локальные IP адреса


Принцип перенаправления данных из внешней сети во внутреннюю:

Port Forvarding Scheme.png
  1. удаленное устройство отправляет команду на адрес роутера в Интернете и "внешний" порт оборудования, указанный в таблице перенаправления данных
  2. роутер перенаправляет команду на устройство в локальной сети, указанное в таблице перенаправления
  3. команда выполняется устройством


Количество "правил" перенаправления на роутере нужно настроить исходя из того, какие устройства локальной сети должны получать данные или команды из интернета.

Настроим на примере роутера D-Link одно правило перенаправления (каждому устройству сети нужно свое правило):

Port Forvarding Example.png
  1. "IP Address" - локальный IP адрес устройства, на которое вы хотите направить команды из интернета
  2. "Public Port" - порт, на который нужно будет отправить команду из интернета, чтобы она пришла на устройство
  3. "Private Port" - реальный порт оборудования, которое принимает команды (может отличаться от "Public Port")
  4. "Traffic Type" - разрешенный протокол соединения между отправителем и получателем команд (TCP или UDP)


например Вы зарегистрировали на сайте No-IP субдомен i3pro.hopto.org и включили на роутере службу DDNS. Также на роутере вы настроили правило переадресации данных с внешнего TCP порта 8080 на внутренний TCP порт 80 адреса 192.168.0.100, который является адресом оборудования.

Чтобы подключиться к оборудованию через интернет, в настройках подключения нужно указать:
Host: i3pro.hopto.org, Port: 8080

Чтобы подключиться к оборудованию из той же (локальной) сети, где оно находится, нужно указать:
Host: 192.168.0.100, Port: 80


ВНИМАНИЕ Потенциальная проблема безопасности при использовании Port Forwarding!

Открытый порт на роутере означает, что к вашему оборудованию может подключиться кто угодно, если обнаружит открытый порт и выяснит тип оборудования. Этой проблемы не избежать, т.к. она обусловлена самой технологией обеспечения связи с удаленными устройствами через открытый на роутере порт.

Соблюдайте базовые меры безопасности:

  • не открывайте удаленный доступ к камерам, не защищенным сложным паролем
  • не открывайте удаленный доступ к оборудованию, не защищенному сложным паролем
  • старайтесь выбирать внешний порт оборудования, отличный от стандартного, чтобы усложнить определение типа оборудования для злоумышленника
  • или используйте технологию VPN, которая лишена недостатков Port Forwarding и обеспечивает безопасность инфраструктуры объекта автоматизации