Guide d'organisation d'une connexion à distance à un automate industriel à l'aide d'OpenVPN

Dans cet article, je veux parler de l'expérience acquise dans l'organisation de l'accès à distance à un contrôleur logique programmable industriel (ci-après - PLC) grâce à une solution budgétaire basée sur le centre Internet KEENETIC 4G.

Cet article sera particulièrement intéressant pour les spécialistes du domaine des systèmes de contrôle de processus, qui ont posé des questions sur l'organisation de l'accès à distance, mais ne savaient pas par où commencer.

Commençons donc!

Dans cet exemple, nous considérons l'option la plus courante, à savoir:

1. L'ordinateur local qui sera le serveur OpenVPN avec le package TIA Portal installé pour la programmation de l'automate. (LAN 192.168.1.0)
2. Un routeur d'entreprise avec une adresse IP blanche externe (par exemple, 217.196.58.128).
3. Centre Internet KEENETIC 4G avec un client OpenVPN installé connecté aux communications mobiles.
4. Contrôleur logique programmable SIMATIC S7-1500 (LAN 192.168.112.0).

La présence d'une adresse IP blanche externe d'un côté est une condition préalable au fonctionnement du serveur OpenVPN (le serveur OpenVPN doit être situé du côté de l'adresse IP blanche).

Pour établir une connexion VPN entre le KEENETIC Internet Center et la station de travail, nous devons installer les logiciels suivants:

1. OpenVPN - un programme pour créer des réseaux privés virtuels sécurisés, connexion à distance au serveur
2. XCA - un programme pour créer facilement des certificats avec une interface graphique
3. Notepad ++ - éditeur de texte (facultatif)

Installation du package OpenVPN sous Windows.

Installez le composant EasyRSA (pour créer des certificats à l'aide des outils intégrés (facultatif).



Dans le cas d'un message sur l'installation du pilote, cliquez sur "installer".



Si vous devez installer plusieurs adaptateurs virtuels ou si l'adaptateur virtuel n'a pas été installé correctement, allez à l'adresse ci-dessous et exécutez le script «addtab.bat»:
C: \ Program Files \ TAP-Windows \ bin

Création de certificats X.509

1. Installez XCA

XCA - un programme pour créer facilement des certificats avec une interface graphique

2. Créez une base de données

"Fichier" -> "Nouvelle base de données", le programme vous demandera un mot de passe, entrez un mot de passe ou laissez les champs vides et cliquez sur "OK".

3. Créez un certificat d'une autorité de certification (CA)

Pour ce faire, passez dans l'onglet "Certificats" et cliquez sur le bouton "Nouveau certificat"



Ensuite, passez à l'onglet «Objet» et remplissez les champs obligatoires (ce qui est surligné en rouge doit avoir un nom unique).



Cliquez sur "Générer une nouvelle clé" et confirmez l'action en cliquant sur le bouton "créer".



Basculez vers l'onglet "Extensions", sélectionnez le type de certificat "Autorité de certification" et configurez la période de validité du certificat (le certificat CA doit avoir une période de validité plus longue que les certificats informatiques qui seront créés ultérieurement.)



Cliquez sur "OK" et maintenant nous pouvons commencer à configurer les certificats informatiques.

4. Création de modèles de certificats informatiques

Pour simplifier la création de certificats machine, nous utiliserons un modèle pré-préparé. Passez à l'onglet «Modèles» et cliquez sur le bouton «Nouveau modèle».



Choisissez "Modèle vide" et continuez à modifier notre modèle, les noms entre crochets devraient être uniques à l'avenir.



Nous allons dans l'onglet "Extensions", définissons le type sur "Objet final" et configurons la période de validité du certificat informatique (il ne doit pas dépasser le certificat du centre de certification).



Cliquez sur OK pour créer le modèle.
Ce modèle peut désormais être utilisé comme modèle de base pour créer des certificats de machine signés par notre centre de certification.

5. Création de certificats informatiques à l'aide d'un modèle

Passez à l'onglet "Certificats" et cliquez sur le bouton "Nouveau certificat", sélectionnez l'option "Utiliser ce certificat pour la signature", sélectionnez notre modèle <My_Machine> comme modèle et cliquez sur le bouton "Appliquer tout".



Ensuite, allez dans l'onglet "Objet", entrez un nom unique, par exemple, "Mon_Serveur", générez une clé.



Ainsi, nous avons créé un certificat de serveur. Nous effectuons la même procédure pour le certificat client (My_Client).

6. Exportation de certificats et de clés de machine

Pour créer le fichier de configuration du client OpenVPN (KEENETIC) et du serveur (PC Windows), nous devons exporter le certificat du centre de certification, le certificat du serveur, le certificat client, la clé privée du serveur, la clé privée du client.

Pour ce faire, allez dans l'onglet «Certificats», sélectionnez le certificat de l'autorité de certification My_CA, cliquez sur le bouton «Exporter» et téléchargez dans un dossier créé précédemment, par exemple My_Keys, situé sur le bureau.



Nous faisons de même pour le certificat client (My_Client) et le certificat serveur (My_Server).

Basculez vers l'onglet "Clés privées", sélectionnez la clé My_Client, cliquez sur exporter et télécharger vers notre dossier.



Nous effectuons la même procédure pour la clé du serveur.

7. Création du paramètre Diffie-Hellman

Pour configurer les paramètres du serveur, nous avons également besoin du paramètre Diffie-Hellman
Pour créer un paramètre, cliquez sur l'onglet «Avancé» et sélectionnez l'option «Générer les paramètres Diphia-Hellman».



Ensuite, sélectionnez la longueur du paramètre, par exemple 2048. Ensuite, téléchargez notre paramètre dans le dossier avec les clés.



Par conséquent, les fichiers suivants doivent se trouver dans notre dossier:

1. Certificat d'autorité de certification My_CA.crt
2. Certificat client My_Client.crt
3. Certificat de serveur My_Server.crt
4. Clé privée client My_Client.pem
5. La clé privée du serveur My_Server.pem
6. Paramètre Diphia-Hellman dh2048.pem

Création de fichiers de configuration client et serveur

Parce que Le protocole de communication industriel S7-1500 étant Profinet, pour établir une connexion avec l'automate, nous devons organiser une connexion L2, qui est dans ce cas l'interface TAP.

Configuration du serveur OpenVPN

Pour créer un fichier de configuration de serveur, accédez au dossier contenant les fichiers de configuration OpenVPN [C: \ Program Files \ OpenVPN \ config] et créez un fichier TAP_Server avec l'extension .ovpn



Ouvrez le fichier TAP_Server.ovpn avec une visionneuse de fichiers texte (par exemple, Notepad ++) et copiez le texte suivant:

#    L2  dev tap # ,   Windows  #    TAP-Windows  dev-node MyTap #       TAP  server-bridge #       IP proto udp4 #   ,     OpenVPN port 50501 #   10       120  #     ,  . keepalive 10 120 #    cipher AES-256-CBC #    verb 3 #       <ca> </ca> #      <cert> </cert> #      <key> </key> #     () Diffie-Hellman (-). <dh> </dh> 

Ouvrez ensuite la visionneuse de fichiers texte My_CA.crt, My_Server.crt, My_Server.pem, dh2048.pem et copiez le texte depuis:
My_CA.crt dans <ca> </ca>
My_Server.crt dans <cert> </cert>
My_Server.pem dans <key> </key>
dh2048.pem dans <dh> </dh>



en conséquence, nous obtenons ce qui suit:

 dev tap dev-node MyTap server-bridge proto udp4 port 50501 keepalive 10 120 cipher AES-256-CBC verb 3 <ca> -----BEGIN CERTIFICATE----- MIIDqjCCApKgAwIBAgIIJJ8tf67Csf4wDQYJKoZIhvcNAQELBQAwgYsxCzAJBgNV BAYTAlJVMRQwEgYDVQQIEwtLUkFTTk9ZQVJTSzEUMBIGA1UEBxMLS1JBU05PWUFS U0sxDjAMBgNVBAoTBU15T1JHMQ4wDAYDVQQLEwVNeU9SRzEOMAwGA1UEAwwFTXlf Q0ExIDAeBgkqhkiG9w0BCQEWEW15ZW1haWxAbXlob3N0Lnh4MB4XDTE5MTIxMzAw MDAwMFoXDTQ5MTIxMjIzNTk1OVowgYsxCzAJBgNVBAYTAlJVMRQwEgYDVQQIEwtL UkFTTk9ZQVJTSzEUMBIGA1UEBxMLS1JBU05PWUFSU0sxDjAMBgNVBAoTBU15T1JH MQ4wDAYDVQQLEwVNeU9SRzEOMAwGA1UEAwwFTXlfQ0ExIDAeBgkqhkiG9w0BCQEW EW15ZW1haWxAbXlob3N0Lnh4MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC AQEA3dJoAVl7foXZMavZIr9RTB59h+El26OYll7KMBHritf+x8DEVjcg86uyDSf0 yzLtAR+8J013W3SRDVpl3gqdk3t1qb7Paz1OUrV2Hu3N5Ws1s4elpENTQAe1HFZS u0NRhXBCxTTyToNdb1pKcIJziVNLXdTL+pud0T8FNs6q37t14XFkfDOw85m7y3py vU8+ucmQEd5vOKPjcY1jklVZkQJKcGTI77x/R2k6HK7ryul5uIepi/RrVrgTNe5W rYWuk6wlmmFLvgdzoVaBJO8edo89M7oJIQFMNN9x3cpbths6/3ZummBktfgVa7xy 3fs//M5v1pjnYeJ5wd5tiCXkpQIDAQABoxAwDjAMBgNVHRMEBTADAQH/MA0GCSqG SIb3DQEBCwUAA4IBAQDbNhPy3IftjPVNyaUH/5AW6R0Fjqoct/55ZMDrdWlLY1mo iTTxhFPv1DbilUE/nr+SwGvZV2MQs4G1hi9PgGqY5a+lJCSios8BJ7zlrt/LLQQ/ st0r2wzpCYROxoi+zu9YNGZJPP9GI3KdcVye9Rt3vbLbL8LQ8kKKwn3Ju5i1SUMy gzvGTNUPtqOKVJid39IIdva3iMUBspfMGv2EcaGaRWekW9Pni/gBS2eHkBH1/X6n KiopjtZw7A4RPHzC58jp+ypT/X63tPwf5+kWsMDeLG1XTKnLoPeAVNtszMhGsgzE DoZUuL4pb8XbpcnrPlgp0WSkrf1RJrJGuArvUDLu -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- MIIDyzCCArOgAwIBAgIIINPrUqBedY8wDQYJKoZIhvcNAQELBQAwgYsxCzAJBgNV BAYTAlJVMRQwEgYDVQQIEwtLUkFTTk9ZQVJTSzEUMBIGA1UEBxMLS1JBU05PWUFS U0sxDjAMBgNVBAoTBU15T1JHMQ4wDAYDVQQLEwVNeU9SRzEOMAwGA1UEAwwFTXlf Q0ExIDAeBgkqhkiG9w0BCQEWEW15ZW1haWxAbXlob3N0Lnh4MB4XDTE5MTIxMzAw MDAwMFoXDTQ5MTIxMjIzNTk1OVowgY8xCzAJBgNVBAYTAlJVMRQwEgYDVQQIEwtL UkFTTk9ZQVJTSzEUMBIGA1UEBxMLS1JBU05PWUFSU0sxDjAMBgNVBAoTBU15T1JH MQ4wDAYDVQQLEwVNeU9SRzESMBAGA1UEAwwJTXlfU2VydmVyMSAwHgYJKoZIhvcN AQkBFhFNeUVtYWlsQE15SG9zdC54eDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCC AQoCggEBAJhJYVC8WJneQTTO9p7NJvS803W1lq/8Z78Vx8J5jejVhXXZa0NYfXX8 iiXUr26vdhXN5htSNgktz9Tr5zUHwKhzpq+yYICPS44AmzMJByPBhjHUq7/HjnOA e78k80OTzqL5XH8olrQc7690K1GW3b0PduH+bYykDGijQ8vlkwBKQhgxeo7zkTrm VWsgmFJEbrdGoZPnwyHrStMHM0f6UMkEWqooughphaxtJWzS4GJES09z3VSN/3CV FuV2Jn3UGyoEHKrZUa/kFgRx9j9AqRx3//WFusm2KPUim+IA4SLoXP5M6pZXaxvA Z4y5b2xIc/OFFX5DfaCSpAMFwzZFYXkCAwEAAaMtMCswCQYDVR0TBAIwADAeBglg hkgBhvhCAQ0EERYPeGNhIGNlcnRpZmljYXRlMA0GCSqGSIb3DQEBCwUAA4IBAQAZ EXHnqu9Ilz6+w4SB/wfl5HG3UyS2n8oNpTHbFkX1Sn2+2FFuSCZlxhQYyhZKUjRq NsbWMMcwRDST9V6cPw6iaTPfz2G8zaBFjsemnyYD6YttNmdqXgv5wiik3btP2Jk2 3msmg8MlA/EgeZWSFe0ee4yE+L145JgtEQeg0xb7t8J9OOt3W1GVnoX1hQa2GePH PlKqc5ooPAuzIW4kWzxQefqcV5j1Rof98/dQJwJwCatRYgFciOZe26rcsu0R1iKF yS6NB+HwJxZY1ExPcSDmiVu5cyeasSLp1bxcqb9V7a3e9YxNZ8AVmjh/NfOcb2a/ /Mx8QxPEP7g+B6tWfF/Q -----END CERTIFICATE----- </cert> <key> -----BEGIN RSA PRIVATE KEY----- MIIEpAIBAAKCAQEAmElhULxYmd5BNM72ns0m9LzTdbWWr/xnvxXHwnmN6NWFddlr Q1h9dfyKJdSvbq92Fc3mG1I2CS3P1OvnNQfAqHOmr7JggI9LjgCbMwkHI8GGMdSr v8eOc4B7vyTzQ5POovlcfyiWtBzvr3QrUZbdvQ924f5tjKQMaKNDy+WTAEpCGDF6 jvOROuZVayCYUkRut0ahk+fDIetK0wczR/pQyQRaqii6CGmFrG0lbNLgYkRLT3Pd VI3/cJUW5XYmfdQbKgQcqtlRr+QWBHH2P0CpHHf/9YW6ybYo9SKb4gDhIuhc/kzq lldrG8BnjLlvbEhz84UVfkN9oJKkAwXDNkVheQIDAQABAoIBAGZFmapr4yDqx2Xc vHmnk0r3aRf7LMjhvRbyXKZ5ldlRVIDx0/x1eER9ppWDgZHXGnnIPooIqyt87b+z 8iGGJFe826vRIsgT9AzY0WHz5SyZMjNS/Ukdjsh4+CJFgW3X3QVMbFclfhhV+o4d eV4g8KegtBlQEmhKX98CDmznr9KYAxBtiMODkG3gi523+8qgOH5Nqgr+0CGxwcJU 4fDHadjbSj7+12ZrY3TVZm451fEzgh2nPAseyAoNYe0CM9hExmq4jeNxjZFQHNBv refghZaPmyuRWSOfzNbEwRsLCZeLUHDdrNvsPRnFvmLcFhtFKwctngvkGK5lPs1w dCgs8pUCgYEAyJOsi+ZTAWTjJC1pCr3FRJEjoqfqZGw/OLCKV7PBF8Yf2DIB+LDD gfgoMi39sK/HkaH1H6CqD1Gter8WE67gAURvo5UjK4vFAGhmQSbiwhRUCRKRljwT zB4k649XpD8fiOzd9S12uKyr8EvvDbOz9x1XcxQELcqURIunTuDH4CsCgYEAwl3F twSkSOPYG2AeLnuwf8sYtFbcvSYL/8cGovOuZ0GlSLpHO2k1qhUzl6HrpIhEyVom IQRJW9S5lB7z5lU/CVcbGmYLwu4y5/tl4MeG8NOEj1o8FR9RzUw92dSSKoMfCMad lz/RmOrBnX4pwqICs7r7h7VsnOsr/AYn5H04zusCgYEAwHHv+8rhmVTTGsL3Jfcu brtTFZ1Gp1O01Q+NrNgrTEQsCaLxgUsYSntvFbZK0lvVf0WFivL8N/aGHF97Lyd6 hbzD4JAXTpCsU9fXRGuq5cvbVVkblqnN1OqXQewmitCF0TpzO+qDHm2OCuDQXLUu 1sqwPRnXaJgV6i6UOHozTEECgYEAgmguFqxrmWgdf8iOl3tvoV5f1eeNtO7JEDS1 1DEQ68CUp+YrksX1NoeBFRSTqNGw7TOp728T1SQ12xalZ/38DEVALwcWjxQIXbND 2HumowAXqaLOOxHHbangub0w0IsnEFlKNMeh1ipz+zpBxI+0pmgnCReFpwb2fOKY c2o86j8CgYAWTWn/Y1/bNgtStzya6fbxpc4Mc2nCZu6bTQpAgA44r+nRJuHpVm0T cGDKj4NZ8H4wqMmk58GoOreAVsX4qXeN9QkdfAR5dA8eWVz42faC328W3G4VA5cc GvTqDMzq0j3bz+4csHMn3BHatHymjgsg0sgc8FshuD6dQk0NNruk9A== -----END RSA PRIVATE KEY----- </key> <dh> -----BEGIN DH PARAMETERS----- MIIBCAKCAQEAlpVUnvCTJ1XF9mnwhf+P+QZhVWsNyRaqEgLuO2a/fGUqPESU9KRo bDa489awzJs6j/JCKh1xR5H5JLE+Ho6XdgIXH9LTr03BV3PsPQiA28ZiluekBGGY ps7dTLr0Ex4V6Ae3+E+Z7lM/Yhsa4w6fl+GNRkastD42Nx4g4iN+cIerLMFCRPl1 P7Go36VbEtO/aNX/zNExmcDsYSqiLkBeGrNxXen2Loqex5AlwE9WOliUbak6Ra/W vf21Wi03TvBBfjEDKtM/Bsyo8Ar2lgBYIrANvylU/0Gg8OyRWqcIoQjwPyjavAHd v14V1igYDa1xP9WQ262DMHfHLhqwjOW2GwIBAg== -----END DH PARAMETERS----- </dh> 

Configuration de la configuration du client OpenVPN

Pour créer un fichier de configuration client, accédez au dossier contenant les fichiers de configuration OpenVPN [C: \ Program Files \ OpenVPN \ config] et créez un fichier TAP_Client avec l'extension .ovpn
Ouvrez le fichier TAP_Server.ovpn avec une visionneuse de fichiers texte (par exemple Notepad ++) et copiez le texte suivant:

 # ,      client #    L2  dev tap0 #       IP proto udp4 #   ,     OpenVPN port 50501 #  ,      #    IP  DNS. remote 217.196.58.128 #    cipher AES-256-CBC #    verb 3 #       <ca> </ca> #      <cert> </cert> #       <key> </key> 

Ouvrez ensuite la visionneuse de fichiers texte My_CA.crt, My_Client.crt, My_Client.pem et copiez le texte depuis:
My_CA.crt dans <ca> </ca>
My_Client.crt dans <cert> </cert>
My_Client.pem dans <key> </key>



en conséquence, nous obtenons ce qui suit:

 client dev tap0 proto udp4 port 50501 remote 217.196.58.128 cipher AES-256-CBC verb 3 <ca> -----BEGIN CERTIFICATE----- MIIDqjCCApKgAwIBAgIIJJ8tf67Csf4wDQYJKoZIhvcNAQELBQAwgYsxCzAJBgNV BAYTAlJVMRQwEgYDVQQIEwtLUkFTTk9ZQVJTSzEUMBIGA1UEBxMLS1JBU05PWUFS U0sxDjAMBgNVBAoTBU15T1JHMQ4wDAYDVQQLEwVNeU9SRzEOMAwGA1UEAwwFTXlf Q0ExIDAeBgkqhkiG9w0BCQEWEW15ZW1haWxAbXlob3N0Lnh4MB4XDTE5MTIxMzAw MDAwMFoXDTQ5MTIxMjIzNTk1OVowgYsxCzAJBgNVBAYTAlJVMRQwEgYDVQQIEwtL UkFTTk9ZQVJTSzEUMBIGA1UEBxMLS1JBU05PWUFSU0sxDjAMBgNVBAoTBU15T1JH MQ4wDAYDVQQLEwVNeU9SRzEOMAwGA1UEAwwFTXlfQ0ExIDAeBgkqhkiG9w0BCQEW EW15ZW1haWxAbXlob3N0Lnh4MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKC AQEA3dJoAVl7foXZMavZIr9RTB59h+El26OYll7KMBHritf+x8DEVjcg86uyDSf0 yzLtAR+8J013W3SRDVpl3gqdk3t1qb7Paz1OUrV2Hu3N5Ws1s4elpENTQAe1HFZS u0NRhXBCxTTyToNdb1pKcIJziVNLXdTL+pud0T8FNs6q37t14XFkfDOw85m7y3py vU8+ucmQEd5vOKPjcY1jklVZkQJKcGTI77x/R2k6HK7ryul5uIepi/RrVrgTNe5W rYWuk6wlmmFLvgdzoVaBJO8edo89M7oJIQFMNN9x3cpbths6/3ZummBktfgVa7xy 3fs//M5v1pjnYeJ5wd5tiCXkpQIDAQABoxAwDjAMBgNVHRMEBTADAQH/MA0GCSqG SIb3DQEBCwUAA4IBAQDbNhPy3IftjPVNyaUH/5AW6R0Fjqoct/55ZMDrdWlLY1mo iTTxhFPv1DbilUE/nr+SwGvZV2MQs4G1hi9PgGqY5a+lJCSios8BJ7zlrt/LLQQ/ st0r2wzpCYROxoi+zu9YNGZJPP9GI3KdcVye9Rt3vbLbL8LQ8kKKwn3Ju5i1SUMy gzvGTNUPtqOKVJid39IIdva3iMUBspfMGv2EcaGaRWekW9Pni/gBS2eHkBH1/X6n KiopjtZw7A4RPHzC58jp+ypT/X63tPwf5+kWsMDeLG1XTKnLoPeAVNtszMhGsgzE DoZUuL4pb8XbpcnrPlgp0WSkrf1RJrJGuArvUDLu -----END CERTIFICATE----- </ca> <cert> -----BEGIN CERTIFICATE----- MIIDyzCCArOgAwIBAgIII6a7Y3h+sS0wDQYJKoZIhvcNAQELBQAwgYsxCzAJBgNV BAYTAlJVMRQwEgYDVQQIEwtLUkFTTk9ZQVJTSzEUMBIGA1UEBxMLS1JBU05PWUFS U0sxDjAMBgNVBAoTBU15T1JHMQ4wDAYDVQQLEwVNeU9SRzEOMAwGA1UEAwwFTXlf Q0ExIDAeBgkqhkiG9w0BCQEWEW15ZW1haWxAbXlob3N0Lnh4MB4XDTE5MTIxMzAw MDAwMFoXDTQ5MTIxMjIzNTk1OVowgY8xCzAJBgNVBAYTAlJVMRQwEgYDVQQIEwtL UkFTTk9ZQVJTSzEUMBIGA1UEBxMLS1JBU05PWUFSU0sxDjAMBgNVBAoTBU15T1JH MQ4wDAYDVQQLEwVNeU9SRzESMBAGA1UEAwwJTXlfQ2xpZW50MSAwHgYJKoZIhvcN AQkBFhFNeUVtYWlsQE15SG9zdC54eDCCASIwDQYJKoZIhvcNAQEBBQADggEPADCC AQoCggEBAM1xGkTl0fTge3jacEgSkrMoN3wgIr94Y1uD574XqxKYdH11hEdldTLa gx8MGLIYaXN/HQTEYuhxpk+EX0Mqns9TazGouvE2/poP4KiO8iSHVO9PaaKO0OKq Y7ctt4TVBdnD2UjiHCq5DfQ/T6UGv4bOR61RCqymyBnnVQ/KyR0DX4/U+jLx9wxS d5OLD0SSqOjdLTnI1gBpEphRuPo6705I+eM7cATyoL17GMgAQ1W4zLzq3ojNPCo3 U/P0tPvQi6hHoJv5Rj8EfgK7eID7kUqvCrG4Vvg+iKjC7m1ABweOjBXVpk7UsKin 97I/Gz0PGOwnsh3a3J/WNZu1DuPfw9UCAwEAAaMtMCswCQYDVR0TBAIwADAeBglg hkgBhvhCAQ0EERYPeGNhIGNlcnRpZmljYXRlMA0GCSqGSIb3DQEBCwUAA4IBAQDd v4iq13jCqRI6yeFlB8ouMVtuVpI+p7w6KBYyc+phbDuzqI4iFkMyhj0H+cx/760M ziQMuLR/pRrSPKPI03JgFI5dFh1txnNFkelQutZ+6qe4c1y9OhKhwg3n6jS2PevG Tvlrl1utoiNOVXhcvH0CxuD5AJEyQa9SH/vO3TRQC9g5zbfULTgOhpUmaVPYBkX/ tBnvnKFdmsLqwgrKvdqfJF3WqJuQSdHtyp4MVZN1d/T+HoQ5YfN5nGXpLLgLdGaq KvtAtFACkltO0A7R2WeLw1WNiXGHNxd3OFuVedapub1zXCSiYZNC+8MX7PkQnV9e p1JB/AWXg/Z7uQSua3+c -----END CERTIFICATE----- </cert> <key> -----BEGIN RSA PRIVATE KEY----- MIIEpAIBAAKCAQEAzXEaROXR9OB7eNpwSBKSsyg3fCAiv3hjW4PnvherEph0fXWE R2V1MtqDHwwYshhpc38dBMRi6HGmT4RfQyqez1NrMai68Tb+mg/gqI7yJIdU709p oo7Q4qpjty23hNUF2cPZSOIcKrkN9D9PpQa/hs5HrVEKrKbIGedVD8rJHQNfj9T6 MvH3DFJ3k4sPRJKo6N0tOcjWAGkSmFG4+jrvTkj54ztwBPKgvXsYyABDVbjMvOre iM08KjdT8/S0+9CLqEegm/lGPwR+Art4gPuRSq8KsbhW+D6IqMLubUAHB46MFdWm TtSwqKf3sj8bPQ8Y7CeyHdrcn9Y1m7UO49/D1QIDAQABAoIBAQC6dsyL+jf9VX5b 6497qvfhikAJ9jTzqjYsCuXcwCiygRNCB9ae4rRkCrZ2CImlo8iaXqYc/I51QSnd BF1eXiG0NZeWg/nhE7Q0avLSqqOWigqKBn7vX0ayZEqLKQBnnN1pkHv3zdoY4MuM g6YrN5vApBukcGkK2XnHIRMweTLek9/qAeDgcE4ZVXIgHkNjqAc9y/kd5Sx+fL+N k/dGQeTne2xgzJZsiu4uoS9jnBE7g1hQpfLpbyoREaRjWob/KP2IDFIjInjnHrb9 mO5Xuqsv8mHp4+67Ium8IN5jDldoObayEd8giE6x3r/3x60RSmV8IDHKPIs507qD 2hoCXz8hAoGBAObhKqowjp5TuqPt9Nrm+cVZKroDvz8bXb8ejOMn22Wj171cdNy3 gxbt5ksLXsHmjPWm9fK5ZL8m33U+uMwcgqIUbHILo40AQK9FtwkjyeTQne1OBjJa 2tjCc3ySo0icEswRFJrCu9Rcszehj56WlJzmvE0CiM2QGG3ExOxl8LNtAoGBAOPL Zv5nkG0RAuOg5w+tLi2H14BcD1ICpPcq232mXdqzEeeXSysvgpwDaOWPGXtgWvIK ScIw9xqW7tonk5EjKnsgPajV8OvG+vAqC2liHy00IxZ+YB+vzE66uUEpYXUpzI2n F+pb+rQDSQo3beyamjeL1wYEjntDyWqfRmQfQSkJAoGAMP1CIk6fVHULu1D4jaJJ CVj8OfAlmmxiHfWLi3+fjBeR5XpCybqetDTSksXc22PiMRW2RkSUXgMPkz810wmR pnaS9DgIAhk1oHs4dVYEtuqVOA9APVsN6MSJ4Lr0rql/S5GsP5JmbI8m7/z2Dn6B FjHXbrfE82lJ5bDE4CxZQJkCgYAvmtJrWDlWkbeI2pdvL0H3QexHZvXMrcDL5qj4 GUyD5+hV/cg3vjYNZKkHUGCC6CAZdQz1CEabx+8iqCKusiqukI5SOmOe4naOujqo S1k4mSy8Bq0P8i1ARsVwWLWFRrb443KcB5zdAdLBz9OpHqYb9Z16JHmiSQhOv/p1 8hIsAQKBgQCvHQu6NKsdNDogXCiwEt52jlqBRs4NEjspupOKzV+HlEfek6ijKMce P9o4U+vpiG5ZmIYPzgTfAlaWxoMi5ynRZhiMA8dFzX53uyJiYJetXm+zb71l9BW8 kmsch0B5z5yAjEA+CWIqDJ05O7QTLMLC69QU4UICswbyJy1MFUfrbg== -----END RSA PRIVATE KEY----- </key> 

Sur ce point, la création des fichiers de configuration client et serveur sera considérée comme terminée.

Configuration du routeur d'entreprise

Parce que Étant donné que notre ordinateur personnel n'est pas connecté directement à la ligne avec une IP blanche externe, mais via un routeur d'entreprise, puis pour accéder à un ordinateur avec une adresse IP locale à partir d'un réseau externe, il est nécessaire de transférer le port que nous avons spécifié dans la configuration du serveur (50501).

Les procédures de redirection de port peuvent varier selon le modèle de votre routeur.
La capture d'écran ci-dessous montre un exemple de configuration d'un routeur d'entreprise (pas notre KEENETIC 4G).

Exécution du serveur OpenVPN sur un ordinateur personnel

Nos fichiers de configuration sont prêts, il reste à passer aux nuances de configuration d'OpenVPN sur un système Windows, pour cela nous allons continuer à configurer les paramètres de l'adaptateur et renommer l'adaptateur TAP-Windows V9 en MyTap (selon le nom dev-node).



Et configurez également l'adresse locale de notre adaptateur (elle doit être affectée à l' adresse IP inoccupée du réseau local de notre contrôleur, par exemple 192.168.112.230)



Ensuite, lancez le serveur OpenVPN:

1. Lancez l'application située dans C: \ Program Files \ OpenVPN \ bin \ openvpn-gui.exe (ou cliquez sur le raccourci sur le bureau)



2. Accédez au bac, sélectionnez le fichier de configuration créé "TAP_Server" et cliquez sur "se connecter"



3.Assurez-vous que notre serveur fonctionne et passez à la configuration du Centre Internet KEENETIC 4G

Configuration du Centre Internet KEENETIC 4G

Par défaut, le client OpenVPN n'est pas inclus dans KEENETIC 4G, nous devons donc l'installer en premier. Pour ce faire, nous connectons le KEENETIC 4G à Internet de différentes manières (via le câble, le Wi-Fi ou en utilisant un modem 4G), puis allez dans «Paramètres généraux» et cliquez sur le bouton «Changer le jeu de composants».



Nous sélectionnons les composants dont nous avons besoin (dans ce cas, le client OpenVPN a déjà été installé, donc un autre composant est affiché par exemple) et cliquez sur le bouton "Installer la mise à jour".



Ensuite, passons à la configuration de notre réseau, pour cela, nous sélectionnons «Réseau domestique» et configurons l'adresse IP de notre routeur, par exemple 192.168.112.101 (il devrait également être gratuit).



Ensuite, nous devons configurer notre connexion OpenVPN, pour cela nous sélectionnons "Autres connexions", cliquez sur le bouton "Ajouter une connexion".
Saisissez le nom de la connexion (arbitraire, par exemple, TAP_Client_PLC), sélectionnez le type de connexion (OpenVPN), copiez le texte de notre fichier créé pour le client dans la configuration OpenVPN (TAP_Client.ovpn) et cliquez sur le bouton Enregistrer pour appliquer les modifications.



Ensuite, nous devons inclure l'interface OpenVPN dans le pont principal, mais avant de faire cette procédure, nous devrons installer le client telnet. Pour ce faire, accédez au panneau de configuration, puis "Activer ou désactiver les composants Windows", sélectionnez Telnet Client et cliquez sur "OK".



Une fois le client telnet installé - connectez-vous à notre KEENETIC 4G: sur le clavier, appuyez sur la combinaison de touches WIN + R, entrez cmd



Entrez la commande telnet [IP_OUR_KEENETIC] (par exemple, telnet 192.168.112.101)



Nous allons passer par le processus d'autorisation (entrez le nom d'utilisateur et le mot de passe (s'il a été configuré)) et entrez les commandes suivantes:

 interface Bridge0 include OpenVPN0 system configuration save 

Vérifiez l'exactitude de notre configuration:

 show running-config 

En fin de compte, nous devrions voir quelque chose comme ceci:



Je note que l'interface OpenVPN0 n'est créée qu'après avoir créé la connexion OpenVPN.

Nous incluons notre client OpenVPN.



Nous constatons que KEENETIC 4G s'est connecté à notre serveur et procédons à la configuration de notre contrôleur S7-1500.

Configuration du contrôleur logique programmable S7-1500

Dans les paramètres de notre contrôleur, il suffit de définir l'adresse locale de notre routeur:

1. Cochez la case «Utiliser le routeur»
2. Nous conduisons à l'adresse du réseau domestique de notre KEENETIC 4G (192.168.112.101)

Après avoir chargé la configuration, le contrôleur deviendra disponible pour l'accès via une connexion à distance.



Ceci termine la configuration de notre connexion à distance.

Merci de votre attention!