|
SMConnect & SMConfig VPN-сервер на базе SMH-2Gi, Trim5 и SMH4 и средство удалённой настройки контроллера |
|
Опции темы | Поиск в этой теме |
26.09.2014, 14:33 | #1 |
Новичок
Регистрация: Apr 2013
Сообщения: 13
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Доброго времени суток.
Уважаемые коллеги и техподдержка прошу поделиться опытом и конкретикой в плане настройки маршрутизаторов (проброс портов, правила для firewall) для корректной работы SMConnect. Имею следующую ситуацию (оба контроллера 2Gi модификации 0020-31-2). Контроллер-сервер подключен к локальной сети предприятия, имеющей внешний статический IP и выход в Интернет. В маршрутизаторе был проброшен порт 1194 и создано правило для сетевого экрана. Данный порт был выбран исходя из этого сообщения и раздела справки по SMConnect. К контроллеру-клиенту подключен модем iRZ ES90iPU с сим-картой МТС (также имеется статический IP). Все необходимые настройки производятся согласно справке. Результат - клиент не запрашивает конфигурацию и не подключается при добавлении его вручную. Меняю местами роли контроллеров (с соответствующей перенастройкой SMConnect), не трогая внешние подключения (т.е. сервер теперь имеет доступ к Интернету через модем со статикой) - клиент (который теперь подключен к локалке) цепляется на раз. Перекидываю внешние подключения с сохранением ролей и перенастраиваю SMConnect (т.е. на данный момент контроллеры полностью поменялись местами). Результат аналогичный первому случаю - клиент не подключается к серверу. Из этого можно сделать вывод, что дело именно в настройках маршрутизатора. В связи с этим вопрос - кто как настраивает в таких случаях (какие порты, протоколы, какие правила для сетевого экрана)? |
26.09.2014, 16:46 | #2 | ||
Сотрудник Segnetics
Регистрация: Jan 2006
Адрес: Russia, SPb
Сообщения: 18 160
Благодарил(а): 15 раз(а)
Поблагодарили:
665 раз(а) в 607 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Цитата:
Что касается портов: Цитата:
__________________ Программа делает то что написал программист, а не то что он хотел. Добро всегда побеждает зло. Кто победил - тот и добрый. |
||
21.09.2015, 19:55 | #3 |
Новичок
Регистрация: Jun 2012
Адрес: Krasnogorsk
Сообщения: 7
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Приветствую!
Имею похожую проблему. И "клиент" и "сервер" находятся за роутерами. Судя по этой ссылке http://dl.segnetics.com/WebHelp/SMCo...?smc_setup.htm необходимо пробросить порт 1149 и всё должно быть ОК. В реальности контроллер "клиент" не подключается к "серверу" проблемы с маршрутизацией исключил, запустив и успешно подключившись "клиентом" - компьютером из той же локалки, в которой находится и "клиент" - контроллер. В одной локалке контроллеры работают как надо. Пакеты на интерфейс "сервера" от контроллера "клиента" приходят и ... ничего. Коллеги, посоветуйте что нибудь ! |
22.09.2015, 09:58 | #4 | |
Сотрудник Segnetics
Регистрация: Jan 2006
Адрес: Russia, SPb
Сообщения: 18 160
Благодарил(а): 15 раз(а)
Поблагодарили:
665 раз(а) в 607 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Цитата:
Если нужен SMconfig, то для его работы нужны порты 80 и 1111. - парой сообщений ранее. __________________ Программа делает то что написал программист, а не то что он хотел. Добро всегда побеждает зло. Кто победил - тот и добрый. Последний раз редактировалось Arsie, 22.09.2015 в 10:19 |
|
22.09.2015, 12:13 | #5 |
Новичок
Регистрация: Jun 2012
Адрес: Krasnogorsk
Сообщения: 7
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Добрый день! С клиентского компьютера есть доступ и к SMConfig и SMConnect по адресу 10.10.0.1. Контроллер как не обнаруживался, так и не обнаруживается. Может быть имеет значение разница версий сервера (1.20) и клиента (1.00) ? Какие данные могут помочь в поиске причины неработоспособности ?
|
22.09.2015, 12:15 | #6 | |
Сотрудник Segnetics
Регистрация: Jan 2006
Адрес: Russia, SPb
Сообщения: 18 160
Благодарил(а): 15 раз(а)
Поблагодарили:
665 раз(а) в 607 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Цитата:
Обновите клиента "через интернет", это несложно. __________________ Программа делает то что написал программист, а не то что он хотел. Добро всегда побеждает зло. Кто победил - тот и добрый. |
|
22.09.2015, 13:13 | #7 |
Новичок
Регистрация: Jun 2012
Адрес: Krasnogorsk
Сообщения: 7
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
ПО в клиенте и сервере совпадают по всем пунктам(обновлено до последних версий). В предыдущем посте указал на аппаратную версию контроллера.
|
22.09.2015, 15:09 | #8 |
Сотрудник Segnetics
Регистрация: Jan 2006
Адрес: Russia, SPb
Сообщения: 18 160
Благодарил(а): 15 раз(а)
Поблагодарили:
665 раз(а) в 607 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
От аппаратной версии ничего не зависит.
__________________ Программа делает то что написал программист, а не то что он хотел. Добро всегда побеждает зло. Кто победил - тот и добрый. |
22.09.2015, 15:57 | #9 |
Новичок
Регистрация: Jun 2012
Адрес: Krasnogorsk
Сообщения: 7
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
В этом я уже убедился, использовав другой контроллер. Через открытые и проброшенные порты (1111, 502 и тп) не идёт ни единого пакета данных, на порт 1194 ежесекундно от контроллера клиента идут на контроллер сервер пакеты, но ничего так и не происходит. Работа системы, когда и клиент и сервер находятся за роутерами и есть только один белый IP на сервере, вообще возможна?
|
22.09.2015, 16:12 | #10 | |
Сотрудник Segnetics
Регистрация: Jan 2006
Адрес: Russia, SPb
Сообщения: 18 160
Благодарил(а): 15 раз(а)
Поблагодарили:
665 раз(а) в 607 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Цитата:
__________________ Программа делает то что написал программист, а не то что он хотел. Добро всегда побеждает зло. Кто победил - тот и добрый. |
|
22.09.2015, 16:41 | #11 |
Новичок
Регистрация: Jun 2012
Адрес: Krasnogorsk
Сообщения: 7
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
А ничего не получается. Помогло следующее - подключаем контроллеры в одну локалку. Указываем в SMConfig локальный адрес, ждём запроса конфигурации и установки соединения. Затем, отключаем клиента, переводим его в другую сеть, в SMConfig указываем адрес интернета, ждём соединения. ModBUS TCP пока не заработал ...
|
22.09.2015, 16:45 | #12 | |
Сотрудник Segnetics
Регистрация: Jan 2006
Адрес: Russia, SPb
Сообщения: 18 160
Благодарил(а): 15 раз(а)
Поблагодарили:
665 раз(а) в 607 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Цитата:
__________________ Программа делает то что написал программист, а не то что он хотел. Добро всегда побеждает зло. Кто победил - тот и добрый. |
|
22.09.2015, 16:56 | #13 |
Новичок
Регистрация: Jun 2012
Адрес: Krasnogorsk
Сообщения: 7
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Первое. Про ModBus это лирическое отступление ибо без того, что бы можно было передавать значения переменных через SMConnect, проект диспетчеризации лишен смысла
|
22.09.2015, 17:02 | #14 | |
Сотрудник Segnetics
Регистрация: Jan 2006
Адрес: Russia, SPb
Сообщения: 18 160
Благодарил(а): 15 раз(а)
Поблагодарили:
665 раз(а) в 607 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Цитата:
Проблему вижу в том, что контроллер не может получить сертификат от сервера, значит не все нужные порты открыты и/или переадресованы на контроллер-сервер. То ли у провайдера, то ли у вашего роутера. __________________ Программа делает то что написал программист, а не то что он хотел. Добро всегда побеждает зло. Кто победил - тот и добрый. |
|
22.09.2015, 17:14 | #15 |
Новичок
Регистрация: Jun 2012
Адрес: Krasnogorsk
Сообщения: 7
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Ваш тестовый сервер работает за NAT? По каким портам и протоколам происходит передача сертификатов клиентам?
|
23.09.2015, 14:28 | #16 | |
Сотрудник Segnetics
Регистрация: Jan 2006
Адрес: Russia, SPb
Сообщения: 18 160
Благодарил(а): 15 раз(а)
Поблагодарили:
665 раз(а) в 607 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Цитата:
Пробросьте следующие порты: с 20-го по 23-й - ftp, ssh, telnet 12345 - UDP поиск контроллера 502 - ModBus TCP ICMP д.б. разрешен на маршрутизаторе, иначе пинг не пройдет Если нужен SMconfig, то для его работы нужны порты 80 и 1111 443 – для доступа к панели управления SMConnect 1194 - для работы клиентов с сервером __________________ Программа делает то что написал программист, а не то что он хотел. Добро всегда побеждает зло. Кто победил - тот и добрый. |
|
23.09.2015, 18:56 | #17 |
Senior Member
Регистрация: Aug 2013
Сообщения: 3 791
Благодарил(а): 12 раз(а)
Поблагодарили:
194 раз(а) в 190 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
А 54321 куда?
Код:
fwrite($f, "cli=`ip route | grep \"eth0 src\"` \ncli_net=`echo \$cli | cut -d ' ' -f1`\nsn=`grep SN: < /proc/sv | cut -d ':' -f2`\n/bin/busybox nc $srv_ip 54321 -e echo '\$sn \$cli_net'\ncli_ip=`echo \$cli | cut -d ' ' -f5`\n") |
23.09.2015, 20:13 | #18 |
Сотрудник Segnetics
Регистрация: Jan 2006
Адрес: Russia, SPb
Сообщения: 18 160
Благодарил(а): 15 раз(а)
Поблагодарили:
665 раз(а) в 607 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Вот этого я не знаю. Судя по порядку цифр, что-то отладочное.
__________________ Программа делает то что написал программист, а не то что он хотел. Добро всегда побеждает зло. Кто победил - тот и добрый. |
23.09.2015, 21:02 | #19 |
Senior Member
Регистрация: Aug 2013
Сообщения: 3 791
Благодарил(а): 12 раз(а)
Поблагодарили:
194 раз(а) в 190 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Да если бы отладочное.
Это из файлика getcrt.php smconnect, который собственно и формирует файлик clientconfig_xxxx.zip с сертификатами и настройками клиента. А получает он вроде как серийник клиента (2Gi) и обновляет в базе Код:
fwrite($f, "while :; do\n/bin/busybox nc -l -p 54321 | (tbl_name=clients_lans; read sn mask; echo \"delete from \$tbl_name where serial=\$sn; insert into \$tbl_name values (\$sn, '\$mask');\" | /usr/local/bin/sqlite3 /projects/sys/smconnect/smconnect.sqlite)\ndone\n"); P.S. Ну не линуксоид я... Но явно потоки через NetCat перенаправляются. Последний раз редактировалось ATS, 23.09.2015 в 21:14 |
12.11.2015, 01:08 | #20 |
Senior Member
Регистрация: Nov 2013
Адрес: Санкт-Петербург
Сообщения: 213
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Дык чё, заработала связь в итоге? Контроллеры могут обмениваться данными ?
Ещё интересует вопрос, чтобы один контроллер передавал данные на другой, используя SMConnect, какие входящие порты должны быть открыты на стороне сервера? 1194 и 502 или только 1194? Последний раз редактировалось djaval, 12.11.2015 в 01:18 |
12.11.2015, 09:00 | #21 | |
Сотрудник Segnetics
Регистрация: Jan 2006
Адрес: Russia, SPb
Сообщения: 18 160
Благодарил(а): 15 раз(а)
Поблагодарили:
665 раз(а) в 607 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Цитата:
Вообще, ваш вопрос несколько узок, т.к. работа СМКоннекта - это нечто более сложное, чем просто работа по каналу VPN. Для работы уже настроившегося СМКоннект достаточно только порта 1194. Но для его настройки одного этого порта мало. __________________ Программа делает то что написал программист, а не то что он хотел. Добро всегда побеждает зло. Кто победил - тот и добрый. |
|
12.11.2015, 11:11 | #22 | |
Senior Member
Регистрация: Nov 2013
Адрес: Санкт-Петербург
Сообщения: 213
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Цитата:
Для сельской местности это важно, нужно написать заказчику чётко, какой порт должен быть открыт на стороне сервера.. Можно поподробнее. |
|
12.11.2015, 11:24 | #23 | |
Сотрудник Segnetics
Регистрация: Jan 2006
Адрес: Russia, SPb
Сообщения: 18 160
Благодарил(а): 15 раз(а)
Поблагодарили:
665 раз(а) в 607 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Цитата:
В этой теме уже есть все подробности. 443 – для доступа к панели управления SMConnect 1194 - для работы клиентов с сервером __________________ Программа делает то что написал программист, а не то что он хотел. Добро всегда побеждает зло. Кто победил - тот и добрый. |
|
12.11.2015, 11:44 | #24 |
Senior Member
Регистрация: Nov 2013
Адрес: Санкт-Петербург
Сообщения: 213
Благодарил(а): 0 раз(а)
Поблагодарили:
0 раз(а) в 0 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
То есть на объекте достаточно будет установить айпишники, и связь заработает, по 1194?
К панели управления можно обратится и по месту, так ведь? Не обязательно же через инет?.. Клещами из вас приходиться вытягивать информацию Ну не работал я этой с фичей, поэтому и спрашиваю! Просто хочу понять, получится ли обеспечить то, что обещано заказчику.. |
12.11.2015, 12:05 | #25 | ||
Сотрудник Segnetics
Регистрация: Jan 2006
Адрес: Russia, SPb
Сообщения: 18 160
Благодарил(а): 15 раз(а)
Поблагодарили:
665 раз(а) в 607 сообщениях
|
Ответ: Подключение к контроллеру-серверу расположенному за сетевым экраном (firewall)
Цитата:
Цитата:
Я пишу о том, что нужно. О том, что НЕ нужно - я не пишу. Не пишете же вы в документации на шкаф: "Питание 220В, т.е. от 380В питаться не может. От 6300В тоже не может питаться. К 440В не подключать!" и так далее по сетке стандартных напряжений. Настроенные каналы VPN во всём мире работают совершенно идентично. __________________ Программа делает то что написал программист, а не то что он хотел. Добро всегда побеждает зло. Кто победил - тот и добрый. |
||