Настройка сетевых соединений

Материал из WebHMI Wiki
Перейти к: навигация, поиск
На этой странице были произведены изменения, не отмеченные для перевода.

Другие языки:
English • ‎русский

Интерфейсы lan и wan

Независимо от того, какие конкретно задачи решаются с помощью WEBHMI, в любом случае, потребуется его подключение к локальной сети или сети Internet. Есть несколько вариантов как это можно сделать, самый надежный из них – проводной Ethernet.

WEBHMI имеет 2 сетевых разъема RJ45 маркированных как LAN и WAN. По умолчанию LAN сконфигурирован как DHCP-сервер, обеспечивающий автоматическую раздачу сетевых настроек подключаемым устройствам, а WAN как DHCP-клиент, ориентированный на подключение к сети, в которой уже есть какой-то DHCP-сервер, к примеру, роутер раздающий интернет. Кроме того, настройки Firewall запрещают все входящие подключения из сети WAN, таким образом, доступ к Web-интерфейсу WEBHMI возможен только со стороны LAN. Изменить текущие настройки можно с помощью панели Network setup, доступ к которой можно получить по ссылке на странице авторизации или из главного меню Setup / Network setup после входа в систему

002.png
Для входа в панель настроек потребуется авторизация. По умолчанию Login: admin / Password: webhmi

ВНИМАНИЕ! В целях безопасности, в процессе настройки проекта, пожалуйста, измените стандартный пароль

003.png
Все сетевые настройки сгруппированы во вкладке Network. Подменю Interfaces позволяет создавать, конфигурировать и управлять сетевыми подключениями.

004.png
На этой странице отображается общая информация, характеризующая текущее состояние сетевых подключений. Для изменения параметров интерфейса (LAN или WAN) нажмите Edit.

005.png

Все настройки для удобства разбиты на несколько отдельных групп по закладкам: General, Advanced, Physical и Firewall settings:


General setup позволяет задавать общие (основные) настройки, которые будут отличаться, в зависимости от выбранного типа протокола (способа подключения: Static IP, DHCP, PPPoE, L2TP и пр.). В случае статической адресации (наиболее широко используемый вариант) это будут: IP адрес хоста, маска подсети, адреса шлюза и DNS серверов.

В Advanced settings задаются такие параметры как: MAC адрес порта (идентификатор устройства, используемый протоколами канального уровня, а также системами безопасности для управления доступом к сетевым ресурсам и фильтрации пакетов), MTU размер кадра TCP и метрика шлюза.

Physical settings определяет привязки к коммуникационным интерфейсам устройства. В этой вкладке можно объединить несколько интерфейсов мостом, связав, тем самым, несколько сегментов сети, а таже, используя STP, организовать отказоустойчивое резервирование каналов связи (STP - Spanning Tree Protocol позволяет создавать избыточные связи между сегментами сети, избежав топологических петель и зацикливания пакетов).

Вкладка Firewall settings позволяет указать групповые политики, в соответствии с которыми будет проводиться обработка входящего и исходящего трафика для этого соединения.


В самом общем случае, для подключения WEBHMI к локальной сети достаточно будет настроить лишь несколько важных параметров.

007.png

Вкладка General settings:

1. Protocol – указывает на тип подключения. Несмотря на все видимое многообразие, для локальной сети возможно лишь два варианта: DHCP client и Static address. DHCP-client подразумевает получение настроек сети автоматически (возможно лишь в том случае, когда в сети есть DHCP-сервер), в случае Static address настройки вводятся вручную пользователем.

СОВЕТ. Как правило динамическая адресация не удобна для предоставления каких либо сервисов внутри сети т.к. каждый раз адреса ресурсов будут меняться и доступ к ним будет затруднен

2. IP address – уникальный адрес устройства (узла) в IP сети. В версии протокола IPv4 он имеет длину 4 байта и записывается через точку типа хх.хх.хх.хх IP-адрес устройства состоит из адреса сети и адреса узла в этой сети (определяется маской подсети). О правилах адресации в IP сетях можно прочитать здесь.

ВНИМАНИЕ! В случае подключения к одной сети нескольких устройств с одинаковым IP-адресом это вызовет конфликт адресов, что приведёт к отключению одного из устройств. Такое возможно, например, при одновременном подключении к сети двух устройств WebHmi с заводской конфигурацией

3. IP netmask (маска подсети) – указывает на то, какая часть IP-адреса (старшие биты) относится к адресу сети, а какая (младшие) к адресу хоста (узла) в этой сети. В IPv4 маска подсети имеет длину 4 байта и записывается побайтно, через точку, по аналогии с IP-адресом.

4. IP gateway (шлюз) – это адрес устройства в сети которое обрабатывает все пакеты направленные за пределы этой сети (устройствам с адресом из другой сети).


Вкладка Firewall settings:

5. Необходимо указать к какой зоне относится этот интерфейс. В данном случае LAN или WAN. Подробнее см. раздел Межсетевой экран (Firewall)
008.png

ВНИМАНИЕ! В случае запрета всех входящих соединений для всех сетей, будет полностью потерян доступ к WEB-интерфейсу устройства. В этом случае, для восстановления придется сбрасывать настройки и все данные, включая проект будут потеряны


6. DHCP Server (Dynamic Host Configuration Protocol) – протокол автоматической настройки узлов IP сети. Если устройство подключается как DHCP клиент, или в сети используется статическая адресация – отключите эту опцию.


После изменения настроек нажмите Save & Apply внизу экрана. Новые параметры вступят в силу через несколько секунд.

ВНИМАНИЕ! При изменении настроек сети, в случае ОТСУТСТВИЯ ДОСТУПА К УСТРОЙСТВУ, не забудьте проверить настройки сетевого подключения Вашего ПК

Межсетевой экран (Firewall)

Общая информация

В WebHMI firewall "отображает" одну и более сетей / интерфейсов в специальные зоны, которые используются для описания правил по-умолчанию для данного интерфейса, правил пересылки пакетов между интерфейсами, а также дополнительных правил, которые не подпадают под первые два типа. Весь трафик для сетевого интерфейса можно классифицировать как входящий, исходящий, либо перенаправляемый. В меню сетевых настроек firewall для удобства содержатся описания и комментарии ко всем полям.

FireWall.png


В конфигурационном файле операционной системы правила firewall по-умолчанию идут первыми, но вступают в силу последними. Система фильтрации использует последовательную обработку, в которой пакеты последовательно, по цепочке, обрабатываются различными правилами. Первое совпавшее правило выполняется, но оно часто выполняет переход на другую цепочку правил, по которой движется пакет пока не встретит команды ACCEPT (принять) или DROP/REJECT (отбросить). Правила с такими командами выполняются последними в цепочке правил, поэтому правила по-умолчанию вступят в силу последними, а более конкретные правила будут проверяться в первую очередь. Зоны используются для конфигурации маскарадинга, также известного как NAT, а также для конфигурации правил переадресации портов, более известных как редирект.

Зоны должны всегда отображаться на один или несколько интерфейсов. Назначить зону интерфейсу можно во вкладке его свойств Настройки сетевого экрана. В заводской настройке WebHMI настроены 2 зоны со своими правилами, которых достаточно для работы в 99% процентах случаях - зона wan (в которой как правило находится интернет шлюз) запрещает входящий траффик, но разрешает перенаправлеие из зоны lan в wan. Названия зон lan (зеленой) и wan (красной) по умолчанию совпадают с названиями сетевых интерфейсов LAN и WAN на которые они закреплены, однако зоны можно назвать произвольно:

If firewall tab.png


Здесь названия зон wan и wlim отличаются от названий сетей WWAN и WFONLY соответственно.

Редактирование зон

Создать и отредактировать зону можно в меню Сеть / Межсетевой экран.

Firewall menu.png


Ключевые свойства зон выведены на этой странице в отдельный список. В данном примере:

зона lan содержит 2 сети - сеть lan c 2 адаптерами включенными в мост и сеть vpn, разрешен весь трафик - входящий, исходящий и перенаправляемый внутри зоны между адаптерами, разрешено перенаправление в другую зону - wan.
зона wan содержит одну сеть wwan из которой запрещено перенаправление в другую зону, разрешен только исходящий трафик, разрешен маскарадинг и включено ограничение MSS
зона wlim содержит одну сеть wfonly из которой запрещено перенаправление в другую зону, разрешены входящий и исходящий трафик, разрешен маскарадинг

Меню редактирования зоны :

Wan edit 1.png


Т.е. привязать сети к зонам можно как при редактировании интерфейсов, так и зон.

Wan edit 2.png


Способ перенаправления может быть только один для каждой зоны (т.е. правило пропукает только в одну сторону) - т.е. если требуется разрешить взаимное перенаправлние между двумя зонами, требуется описать 2 правила в отдельных зонах.

Правила по умолчанию

Предусмтрен отдельный список для правил перенаправления портов (DNAT):

Port forwarding.png


Список общих правил по умолчанию (применяемых если не выполнились специальные правила описанные выше) находится во вкладке "Правила для трафика". Здесь же их можно добавлять и редактировать, менять порядок применения в цепочке правил.

Def rules 1.png


Rules fwall 2.png


Пример использования Firewall

В качестве примера рассмотрим задачу:

 Есть WebHMI с доступом в интернет, однако требуется запретить доступ в интернет всем пользователям, подключенным к WebHMI, кроме двух устройств разработчика (ноутбук и моб. телефон).

Можно поступить следующим образом: Интерфейс, через который локальные пользователи заходят на WebHMI включить в зону, в которой запрещено перенаправление между зонами.
Reject trafic 1.png

Результатом будет такая зона, в которой разрешен входящий и исходящий трафик, но запрещено перенаправление в другую зону (wan, где есть интернет):
Wlim reject.png
Чтобы разрешить трафик конкректым устройвам (с определнными MAC - адресами адаптеров) нужно добавить для них правила в список правил по умолчанию.
Def rules for me.png

Правила выглядят следующим образом:
Android fw rule.png

Wi-Fi

Возможности работы WebHmi в беспроводных сетях Wi-Fi позволяют очень гибко решать вопросы организации связи с устройствами, там, где по какой либо причине не получается использовать проводное подключение к локальной сети.

СОВЕТ. Если есть такая возможность, всегда следует отдавать предпочтение более надежному проводному подключению в сравнении с беспроводным.

WebHmi может быть как клиентом в уже существующей сети, так и работать в режиме точки доступа. Интересной особенностью является возможность одновременной работы сразу в нескольких сетях ! (например, подключиться к интернету в одной сети и одновременно с этим, раздать доступ к своим ресурсам в другой).

СОВЕТ. На передней панели устройства находится индикатор Wi-Fi, отображающий активность беспроводных подключений


Точка доступа (Access point)


По умолчанию беспроводной интерфейс WebHmi сконфигурирован как точка доступа. Настройки параметров беспроводных сетей собраны в разделе Network / Wi-Fi главного меню панели Network setup

Wifi 001.png

В открывшемся окне Wireless Overview отображаются основные параметры существующих беспроводных сетей. Отсюда можно ими управлять: добавлять/удалять, включать/выключать, а также менять их настройки.

Wifi 002.png

Для изменения настроек существующей сети нажмите Edit. Здесь все параметры по смыслу разделены на две группы: физические настройки, определяющие параметры радиоканала, которые в большинстве случаев можно не трогать и логические, задающие, собственно, свойства беспроводной сети – её идентификатор, режим работы и параметры безопасности.


ВНИМАНИЕ! Если вы подключены к WebHmi по Wi-Fi – манипуляции с настройками беспроводных сетей могут привести к нарушению связи с устройством.


Interface configuration, закладка General setup:

1. ESSID – имя сети
2. Mode – режим работы. В большинстве случаев он будет либо Access point (точка доступа) при создании новой беспроводной сети, либо Client – при подключении к уже существующей
3. Network – определяет физическую привязку этой сети либо к другим, уже существующим сетям (подключение типа мост), либо создание для нее нового интерфейса

СОВЕТ. В случае если к этой беспроводной сети не предполагается подключение гостевых устройств ее можно скрыть, используя опцию Hide ESSID


Wifi 003.png

Закладка Wireless security определяет настройки безопасности беспроводной сети.

СОВЕТ. Для ограничения доступа к беспроводным сетям используйте более совершенную технологию WPA2-PSK.

4. Encryption - выберите тип шифрования или оставьте доступ к сети открытым
5. Key – придумайте ключ безопасности (от 8-ми до 63-ех символов)
6. Сохраните изменения Save & Apply

Wifi 004.png

Точно так же можно было бы создать и новую беспроводную сеть.

Однако это еще не конец. В результате произведенных манипуляций пока создан лишь новый сетевой интерфейс (как бы устройство, сетевой адаптер), который появится в списке сетей во вкладке Interfaces, меню Network. Теперь его нужно будет сконфигурировать для работы в IP сети (назначить адрес, шлюз и пр.) аналогично описанным ранее настройкам интерфейсов LAN и WAN

СОВЕТ. Как правило, режим работы «Точка доступа» предполагает наличие в сети DHCP сервера, раздающего сетевые настройки подключаемым клиентам. Если это нужно – включите эту опцию при конфигурировании интерфейса.


Wifi 013.png


Подключение к существующей сети (Client mode)


1. Нажмите Scan в окне Wireless Overview, меню Network / Wi-Fi

Wifi 005.png

WebHmi покажет список найденных сетей.
2. Нажмите Join Network для той сети, к которой собираетесь подключиться

Wifi 006.png

В появившемся окне:
3. Введите ключ безопасности сети, к которой Вы подключаетесь
4. Задайте название сети (то, как она будет отображаться в системе). Обратите внимание на опцию Replace wireless configuration, вверху экрана. Если она выбрана, то новая беспроводная сеть заменит существующую, если нет - то будет создана новая сеть.
5. Исходя из уровня доверия к сети, укажите нужную сетевую зону, определяющую правила обработки трафика для данного подключения. Подробнее см. настройка Firewall

Wifi 007.png

6. В появившемся окне нажмите Save & Apply. В принципе это все.

Wifi 009.png

В окне Wireless Overview вы увидите новую беспроводную сеть (в данном случае их две: в одной из них WebHmi клиент, а в другой – точка доступа).

Wifi 010.png

Посмотреть или изменить настройки сетевого подключения можно всё там же, во вкладке Network / Interfaces

Wifi 011.png

Подключение WebHMI к интернет

Распространенной задачей является конфигурирование WebHMI c одновременным доступом в интернет как WebHMI, так и компьютера, с которого идет конфигурирование. Рассмотрим несколько сценариев подключения.

Вариант 1. Компьютер и WebHMI подключаются в одну внешнюю беспроводную сеть с интернет.

WebHMI с заводскими настройками имеет только одно подключение WiFi - "точка доступа". Поэтому первым шагом должно быть подключение его в беспроводную сеть "клиентом" (для примера будем называть эту сеть WebHMI-DDS). Производить конфигурирование самого WebHMI можно как по Ethernet (см. здесь), так и подключившись в его WiFi сеть "мастер". В последнем случае надо указывать опцию добавления новой беспроводной сети без замены существующей, иначе после включения новой WiFi сети "клиента" пропадет сеть "точка доступа" через которую подключен компьютер или ноутбук. Подробнее об этом см. здесь. Далее, после подключения WebHMI "клиентом" в сеть WebHMI-DDS, нужно запомнить полученный им IP адрес беспроводной сети. Например, в приведенном ниже рисунке WebHMI получил IP адрес 192.168.1.203. Теперь можно отключать компьютер от WebHMI подключаться в беспроводную сеть WebHMI-DDS. Для входа на WebHMI необходимо указать этот же адрес.

Новая сеть есть в списке.png
Теперь и у компьютера, и у WebHMI есть доступ в интернет, а с компьютера можно заходить в веб-интерфейс по адресу из общей для них беспроводной сети.

Вариант 2. WebHMI подключен в интернет, компьютер(ноутбук) подключен к интернет через него

Иногда, работая с WebHMI, удобным может быть подключение к нему для конфигурации и использование его же как шлюза для доступа в интернет. Можно в принципе подключить компьютер (уже подключенный к интернет по беспроводной сети) патчкордом Ethernet к WebHMI, а его в свою очередь к интернету через беспроводную сеть, однако в зависимости от текущих сетевых настроек и операционной системы компьютера возможно придется столкнуться с дополнительной подстройкой TCP/IP на компьютере или WebHMI(на компьютере, как правило,может быть разрешен только один основной шлюз, тогда как при одновременном подключении компьютера со статически прописанным шлюзом на одном сетевом адаптере, и получаемым по DHCP на другом - может возникнуть проблема с выходом в интернет). Заводская настройка WebHMI позволяет делать такое подключение просто. Интернет подключение на WebHMI должно находиться(и находится по умолчанию) в зоне WAN firewall - т.е. Ethernet кабель с интернетом должен быть подключен в порт WAN (eth1 интерфейс в сетевых настройках) либо интерфейс "клиент" беспроводной сети с интернетом (или 3G модем, если он используется для выхода в интернет) должен также находится в зоне WAN. По умолчанию только для этой зоны настроена функция masquerading обеспечивающая правильное преобразование адресов при перенаправлении пакетов. Компьютер же нужно подключать через одно подключение - к интерфейсу зоны LAN (Ethernet порт LAN) или беспроводную сеть "мастер" включенную в эту же зону по умолчанию.

Таким образом, при использовании заводских настроек у компьютера, подключенного для конфигурации к WebHMI, имеющему доступ в интернет, также будет доступ в интернет.

Беспроводной интернет 3G

При отсутствии проводного подключения к интернету подключить WebHMI можно используя USB-модем.

VPN

В случаях, когда необходим удаленный доступ к устройствам WebHMI, можно воспользоваться технологией VPN.

Услуга доступа по технологии VPN предоставляется в рамках системы <a href="http://level2.webhmi.com.ua">Level2</a>.

0. Убедитесь что на WebHMI настроен доступ к Интернет. Для проверки можно воспользоваться инструментами на странице Network Setup->Network->Diagnostics. Пакеты должны ходить, DNS должен работать корректно.

1. Перейдите в Network Setup -> Network -> Interfaces. Нажмите кнопку "Add new interface..."
3g 1.png

2. Введите VPN в качестве имени соединения. Это имя используется в скрипте watchdog, который проверяет состояние соединения и автоматически может переподключать данный интерфейс. Так что имя интерфейса лучше использовать именно "VPN".

2. Выберите протокол L2TPv2 и нажмите "Apply".

3. На вкладке General Setup укажите такие параметры:
L2TP Server: webhmicloud.com
PAP/CHAP username: [логин из вкладки "Информация" узла в системе Level2]
PAP/CHAP password: [пароль из вкладки "Информация" узла в системе Level2]

4. Перейдтите на вкладку "Advanced Settings" и введите число 15 или любое другое в поле Default gateway metric. Важно что бы Default gateway metric у интерфейса VPN был больше чем Default gateway metric у интерфейса по которому идет соединение с интернетом.

5. На вкладке "Firewall Settings" назначьте зону lan для данного интерфейса что бы разрешить входящие соединения. Если этого не сделать то firewall не будет разрешать входящие соединения по VPN и получить доступ к устройству извне не получится.

Включите функцию VPN Monitoring на странице Network->VPN Monitoring для автоматического перезапуска соединения VPN при проблемах со связью.

Автоматическое восстановление 3G и VPN соединений

В сетевых настройках WebHMI есть возможность мониторинга состояния соединений через модем или VPN и выполнения определенной переинициализации интерфейсов. Перейти на страницы с управлением мониторингом соединений находятся в пунках меню:

Модем/Modem Monitoring - мониторинг модема
Сеть/VPN Monitoring - мониторинг VPN интерфейса

Возможности мониторинга модема показаны на следующем рисунке:
Vpn monitor.png
Мониторинг VPN отличается тем, что для проверки подключения используется собственно адрес VPN сервера к которому происходит подключение.

Резервирование интернет соединений

См. [ссылку].

Маршрутизация


Пример использования:

Проверка сетевых настроек.png