Setting up network connections

LAN and WAN interfaces

In any project for WebHMI you have to connect to local network or Internet. There are several options how to do this, and the most reliable is wired Ethernet.

WEBHMI has 2 RJ45 network connectors labeled LAN and WAN. By default, the LAN is configured as DHCP -server that automatically distributes network settings to the connected devices, and WAN as a DHCP client focused on connecting to a network that already has a A DHCP server, for example, a router distributing the Internet. In addition, the settings Firewall forbids all incoming connectoins from WAN network, and therefore access to WebHMI's web-interface is possible only from LAN. [1]. You can change the current settings using the Network setup section, which you can access via the link on the authorization page or from the Setup / Network setup menu after logging in

Login to the network settings section requires authorization. Default requisites are Login: admin / Password: webhmi

ATTENTION! For security reasons, during the project setup process, please change the default password

All network settings are grouped in the 'Network' tab. The submenu 'Interfaces' allows you to create, configure and manage network connections.

This page displays general information that describes the current status of network connections. To change the interface settings (LAN or WAN), press Edit.

All settings for convenience are divided into several separate groups of bookmarks:General, Advanced, Physical и Firewall settings:

General setup allows you to set general (basic) settings, which will differ, depending on the selected protocol type (connection method: Static IP, DHCP, PPPoE, L2TP, etc.). In the case of static addressing (the most widely used option), this will be: host IP address, subnet mask, gateway address and DNS server address.

In 'Advanced settings' the following parameters are set: MAC address (device identifier used by link-layer protocols, as well as security systems for controlling access to network resources and packet filtering),MTU maximum transmission unit and gateway metric.

Physical settings defines bindings to the communication adapters of the device. In this tab, you can combine several interfaces in a bridge, thus linking several segments of the network, and also using STP, to organize fault-tolerant channel reservation (STP - Spanning Tree Protocol Allows you to create redundant links between network segments, avoiding topological loops and looping packets).

The tab Firewall settings allows you to specify the group policies according to which incoming and outgoing traffic will be processed for this connection.

---

In the most general case, to connect WEBHMI to the local network it will be enough to configure only a few important parameters.

General settings tab:

Protocol indicates the type of connection. Despite all the visible diversity, for the local network, only two options are possible: DHCP client and Static address. DHCP-client means obtaining network settings automatically (possible only if there is a DHCP server on the network), in the case of Static address, the settings are entered manually by the user.

TIP. As a rule, dynamic addressing is not convenient for providing any services within the network. Each time resource addresses will change and access to them will be more difficult

2. IP address is the unique address of the device (node) in the IP network. In the version of IPv4 it is 4 bytes in length and written through a point of the type xx.xx.xx.xx. The IP address of the device consists of the network address and the node address in this network (defined by the subnet mask). You can read about addressing rules in IP networks here.

WARNING! If several devices with the same IP address are connected to the same network, this will cause an address conflict, which will lead to the disconnection of one of the devices. This is possible, for example, if you simultaneously connect two WebHMI devices with the factory configuration to the network

3. IP netmask (subnet mask) - indicates which part of the IP address (high-order bits) refers to the network address, and which one (minor) to the host (node) address in this network. In IPv4, the subnet mask has a length of 4 bytes and is written by byte, through a point, similar to the IP address.

4.IP gateway(gateway) is the address of a device on the network that processes all packets directed outside this network (devices with an address from another network).

Firewall settings tab:

5. You must specify which zone this interface belongs to. In this case LAN or WAN. For more information, seeМежсетевой экран (Firewall)

WARNING! If all incoming connections for all networks are disabled, the WEB interface of the device will be completely lost. In this case, you will have to restorereset settigs and all data, including the project, will be lost

6. DHCP Server (Dynamic Host Configuration Protocol) – протокол автоматической настройки узлов IP сети. Если устройство подключается как DHCP клиент, или в сети используется статическая адресация – отключите эту опцию.

После изменения настроек нажмите Save & Apply внизу экрана. Новые параметры вступят в силу через несколько секунд.

ВНИМАНИЕ! При изменении настроек сети, в случае ОТСУТСТВИЯ ДОСТУПА К УСТРОЙСТВУ, не забудьте проверить настройки сетевого подключения Вашего ПК

Межсетевой экран (Firewall)

Общая информация

В WebHMI firewall "отображает" одну и более сетей / интерфейсов в специальные зоны, которые используются для описания правил по-умолчанию для данного интерфейса, правил пересылки пакетов между интерфейсами, а также дополнительных правил, которые не подпадают под первые два типа. Весь трафик для сетевого интерфейса можно классифицировать как входящий, исходящий, либо перенаправляемый. В меню сетевых настроек firewall для удобства содержатся описания и комментарии ко всем полям.

В конфигурационном файле операционной системы правила firewall по-умолчанию идут первыми, но вступают в силу последними. Система фильтрации использует последовательную обработку, в которой пакеты последовательно, по цепочке, обрабатываются различными правилами. Первое совпавшее правило выполняется, но оно часто выполняет переход на другую цепочку правил, по которой движется пакет пока не встретит команды ACCEPT (принять) или DROP/REJECT (отбросить). Правила с такими командами выполняются последними в цепочке правил, поэтому правила по-умолчанию вступят в силу последними, а более конкретные правила будут проверяться в первую очередь. Зоны используются для конфигурации маскарадинга, также известного как NAT, а также для конфигурации правил переадресации портов, более известных как редирект.

Зоны должны всегда отображаться на один или несколько интерфейсов. Назначить зону интерфейсу можно во вкладке его свойств Настройки сетевого экрана. В заводской настройке WebHMI настроены 2 зоны со своими правилами, которых достаточно для работы в 99% процентах случаях - зона wan (в которой как правило находится интернет шлюз) запрещает входящий траффик, но разрешает перенаправлеие из зоны lan в wan. Названия зон lan (зеленой) и wan (красной) по умолчанию совпадают с названиями сетевых интерфейсов LAN и WAN на которые они закреплены, однако зоны можно назвать произвольно:

Здесь названия зон wan и wlim отличаются от названий сетей WWAN и WFONLY соответственно.

Редактирование зон

Создать и отредактировать зону можно в меню Сеть / Межсетевой экран.

Ключевые свойства зон выведены на этой странице в отдельный список. В данном примере:

зона lan содержит 2 сети - сеть lan c 2 адаптерами включенными в мост и сеть vpn, разрешен весь трафик - входящий, исходящий и перенаправляемый внутри зоны между адаптерами, разрешено перенаправление в другую зону - wan.

зона wan содержит одну сеть wwan из которой запрещено перенаправление в другую зону, разрешен только исходящий трафик, разрешен маскарадинг и включено ограничение MSS

зона wlim содержит одну сеть wfonly из которой запрещено перенаправление в другую зону, разрешены входящий и исходящий трафик, разрешен маскарадинг

Меню редактирования зоны :

Т.е. привязать сети к зонам можно как при редактировании интерфейсов, так и зон.

Способ перенаправления может быть только один для каждой зоны (т.е. правило пропукает только в одну сторону) - т.е. если требуется разрешить взаимное перенаправлние между двумя зонами, требуется описать 2 правила в отдельных зонах.

Правила по умолчанию

Предусмтрен отдельный список для правил перенаправления портов (DNAT):

Список общих правил по умолчанию (применяемых если не выполнились специальные правила описанные выше) находится во вкладке "Правила для трафика". Здесь же их можно добавлять и редактировать, менять порядок применения в цепочке правил.

Пример использования Firewall

В качестве примера рассмотрим задачу:

 Есть WebHMI с доступом в интернет, однако требуется запретить доступ в интернет всем пользователям, подключенным к WebHMI, кроме двух устройств разработчика (ноутбук и моб. телефон).

Можно поступить следующим образом: Интерфейс, через который локальные пользователи заходят на WebHMI включить в зону, в которой запрещено перенаправление между зонами.


Результатом будет такая зона, в которой разрешен входящий и исходящий трафик, но запрещено перенаправление в другую зону (wan, где есть интернет):

Чтобы разрешить трафик конкректым устройвам (с определнными MAC - адресами адаптеров) нужно добавить для них правила в список правил по умолчанию.


Правила выглядят следующим образом:

Wi-Fi

Возможности работы WebHmi в беспроводных сетях Wi-Fi позволяют очень гибко решать вопросы организации связи с устройствами, там, где по какой либо причине не получается использовать проводное подключение к локальной сети.

СОВЕТ. Если есть такая возможность, всегда следует отдавать предпочтение более надежному проводному подключению в сравнении с беспроводным.

WebHmi может быть как клиентом в уже существующей сети, так и работать в режиме точки доступа. Интересной особенностью является возможность одновременной работы сразу в нескольких сетях ! (например, подключиться к интернету в одной сети и одновременно с этим, раздать доступ к своим ресурсам в другой).

СОВЕТ. На передней панели устройства находится индикатор Wi-Fi, отображающий активность беспроводных подключений

Точка доступа (Access point)

По умолчанию беспроводной интерфейс WebHmi сконфигурирован как точка доступа. Настройки параметров беспроводных сетей собраны в разделе Network / Wi-Fi главного меню панели Network setup

В открывшемся окне Wireless Overview отображаются основные параметры существующих беспроводных сетей. Отсюда можно ими управлять: добавлять/удалять, включать/выключать, а также менять их настройки.

Для изменения настроек существующей сети нажмите Edit. Здесь все параметры по смыслу разделены на две группы: физические настройки, определяющие параметры радиоканала, которые в большинстве случаев можно не трогать и логические, задающие, собственно, свойства беспроводной сети – её идентификатор, режим работы и параметры безопасности.

ВНИМАНИЕ! Если вы подключены к WebHmi по Wi-Fi – манипуляции с настройками беспроводных сетей могут привести к нарушению связи с устройством.

Interface configuration, закладка General setup:

1. ESSID – имя сети
2. Mode – режим работы. В большинстве случаев он будет либо Access point (точка доступа) при создании новой беспроводной сети, либо Client – при подключении к уже существующей
3. Network – определяет физическую привязку этой сети либо к другим, уже существующим сетям (подключение типа мост), либо создание для нее нового интерфейса

СОВЕТ. В случае если к этой беспроводной сети не предполагается подключение гостевых устройств ее можно скрыть, используя опцию Hide ESSID

Закладка Wireless security определяет настройки безопасности беспроводной сети.

СОВЕТ. Для ограничения доступа к беспроводным сетям используйте более совершенную технологию WPA2-PSK.

4. Encryption - выберите тип шифрования или оставьте доступ к сети открытым
5. Key – придумайте ключ безопасности (от 8-ми до 63-ех символов)
6. Сохраните изменения Save & Apply

Точно так же можно было бы создать и новую беспроводную сеть.

Однако это еще не конец. В результате произведенных манипуляций пока создан лишь новый сетевой интерфейс (как бы устройство, сетевой адаптер), который появится в списке сетей во вкладке Interfaces, меню Network. Теперь его нужно будет сконфигурировать для работы в IP сети (назначить адрес, шлюз и пр.) аналогично описанным ранее настройкам интерфейсов LAN и WAN

СОВЕТ. Как правило, режим работы «Точка доступа» предполагает наличие в сети DHCP сервера, раздающего сетевые настройки подключаемым клиентам. Если это нужно – включите эту опцию при конфигурировании интерфейса.

Подключение к существующей сети (Client mode)

1. Нажмите Scan в окне Wireless Overview, меню Network / Wi-Fi

WebHmi покажет список найденных сетей.
2. Нажмите Join Network для той сети, к которой собираетесь подключиться

В появившемся окне:
3. Введите ключ безопасности сети, к которой Вы подключаетесь
4. Задайте название сети (то, как она будет отображаться в системе). Обратите внимание на опцию Replace wireless configuration, вверху экрана. Если она выбрана, то новая беспроводная сеть заменит существующую, если нет - то будет создана новая сеть.
5. Исходя из уровня доверия к сети, укажите нужную сетевую зону, определяющую правила обработки трафика для данного подключения. Подробнее см. настройка Firewall

6. В появившемся окне нажмите Save & Apply. В принципе это все.

В окне Wireless Overview вы увидите новую беспроводную сеть (в данном случае их две: в одной из них WebHmi клиент, а в другой – точка доступа).

Посмотреть или изменить настройки сетевого подключения можно всё там же, во вкладке Network / Interfaces

Подключение WebHMI к интернет

Распространенной задачей является конфигурирование WebHMI c одновременным доступом в интернет как WebHMI, так и компьютера, с которого идет конфигурирование. Рассмотрим несколько сценариев подключения.

Вариант 1. Компьютер и WebHMI подключаются в одну внешнюю беспроводную сеть с интернет.

WebHMI с заводскими настройками имеет только одно подключение WiFi - "точка доступа". Поэтому первым шагом должно быть подключение его в беспроводную сеть "клиентом" (для примера будем называть эту сеть WebHMI-DDS). Производить конфигурирование самого WebHMI можно как по Ethernet (см. здесь), так и подключившись в его WiFi сеть "мастер". В последнем случае надо указывать опцию добавления новой беспроводной сети без замены существующей, иначе после включения новой WiFi сети "клиента" пропадет сеть "точка доступа" через которую подключен компьютер или ноутбук. Подробнее об этом см. здесь. Далее, после подключения WebHMI "клиентом" в сеть WebHMI-DDS, нужно запомнить полученный им IP адрес беспроводной сети. Например, в приведенном ниже рисунке WebHMI получил IP адрес 192.168.1.203. Теперь можно отключать компьютер от WebHMI подключаться в беспроводную сеть WebHMI-DDS. Для входа на WebHMI необходимо указать этот же адрес.

Теперь и у компьютера, и у WebHMI есть доступ в интернет, а с компьютера можно заходить в веб-интерфейс по адресу из общей для них беспроводной сети.

Вариант 2. WebHMI подключен в интернет, компьютер(ноутбук) подключен к интернет через него

Иногда, работая с WebHMI, удобным может быть подключение к нему для конфигурации и использование его же как шлюза для доступа в интернет. Можно в принципе подключить компьютер (уже подключенный к интернет по беспроводной сети) патчкордом Ethernet к WebHMI, а его в свою очередь к интернету через беспроводную сеть, однако в зависимости от текущих сетевых настроек и операционной системы компьютера возможно придется столкнуться с дополнительной подстройкой TCP/IP на компьютере или WebHMI(на компьютере, как правило,может быть разрешен только один основной шлюз, тогда как при одновременном подключении компьютера со статически прописанным шлюзом на одном сетевом адаптере, и получаемым по DHCP на другом - может возникнуть проблема с выходом в интернет). Заводская настройка WebHMI позволяет делать такое подключение просто. Интернет подключение на WebHMI должно находиться(и находится по умолчанию) в зоне WAN firewall - т.е. Ethernet кабель с интернетом должен быть подключен в порт WAN (eth1 интерфейс в сетевых настройках) либо интерфейс "клиент" беспроводной сети с интернетом (или 3G модем, если он используется для выхода в интернет) должен также находится в зоне WAN. По умолчанию только для этой зоны настроена функция masquerading обеспечивающая правильное преобразование адресов при перенаправлении пакетов. Компьютер же нужно подключать через одно подключение - к интерфейсу зоны LAN (Ethernet порт LAN) или беспроводную сеть "мастер" включенную в эту же зону по умолчанию.

Таким образом, при использовании заводских настроек у компьютера, подключенного для конфигурации к WebHMI, имеющему доступ в интернет, также будет доступ в интернет.

Беспроводной интернет 3G

При отсутствии проводного подключения к интернету подключить WebHMI можно используя USB-модем.

• Подключение к People.net
• Подключение к МТС Коннект

VPN

В случаях, когда необходим удаленный доступ к устройствам WebHMI, можно воспользоваться технологией VPN.

Услуга доступа по технологии VPN предоставляется в рамках системы <a href="http://level2.webhmi.com.ua">Level2</a>.

0. Убедитесь что на WebHMI настроен доступ к Интернет. Для проверки можно воспользоваться инструментами на странице Network Setup->Network->Diagnostics. Пакеты должны ходить, DNS должен работать корректно.

1. Перейдите в Network Setup -> Network -> Interfaces. Нажмите кнопку "Add new interface..."

2. Введите VPN в качестве имени соединения. Это имя используется в скрипте watchdog, который проверяет состояние соединения и автоматически может переподключать данный интерфейс. Так что имя интерфейса лучше использовать именно "VPN".

2. Выберите протокол L2TPv2 и нажмите "Apply".

3. На вкладке General Setup укажите такие параметры:
L2TP Server: webhmicloud.com
PAP/CHAP username: [логин из вкладки "Информация" узла в системе Level2]
PAP/CHAP password: [пароль из вкладки "Информация" узла в системе Level2]

4. Перейдтите на вкладку "Advanced Settings" и введите число 15 или любое другое в поле Default gateway metric. Важно что бы Default gateway metric у интерфейса VPN был больше чем Default gateway metric у интерфейса по которому идет соединение с интернетом.

5. На вкладке "Firewall Settings" назначьте зону lan для данного интерфейса что бы разрешить входящие соединения. Если этого не сделать то firewall не будет разрешать входящие соединения по VPN и получить доступ к устройству извне не получится.

Включите функцию VPN Monitoring на странице Network->VPN Monitoring для автоматического перезапуска соединения VPN при проблемах со связью.

Автоматическое восстановление 3G и VPN соединений

В сетевых настройках WebHMI есть возможность мониторинга состояния соединений через модем или VPN и выполнения определенной переинициализации интерфейсов. Перейти на страницы с управлением мониторингом соединений находятся в пунках меню:

Модем/Modem Monitoring - мониторинг модема

Сеть/VPN Monitoring - мониторинг VPN интерфейса

Возможности мониторинга модема показаны на следующем рисунке:

Мониторинг VPN отличается тем, что для проверки подключения используется собственно адрес VPN сервера к которому происходит подключение.

Маршрутизация

Решение проблем

Проверка связи с устройством Иногда может возникнуть ситуация, когда сетевые настройки WebHMI неизвестны (утеряны, забыты, недокументированы и т.д.) а необходимо подключиться к "неизвестному" устройству, например, когда конфигурация нестандартная и не хотелось бы ее настраивать заново.

Совет. Адреса , на которые был осуществлен вход из броузера, хранятся в истории просмотров, можно использовать историю для поиска забытого адреса. 

Можно воспользоваться утилитой Advanced IP scanner, которая сканирует подсеть компьютера и выводит список подключенных устройств. При этом сетевой адаптер надо конфигурировать на предположительные настройки сети WebHMI, как правило это подсети 192.168.0.х, 192.168.1.х и т.п. WebHMI в этом списке будет содержать строку "8Devices"

Также можно попробовать из командной строки (для ОС семейства Windows): Необходимо подключиться с ПК или ноутбука патчкордом напрямую только к порту LAN WebHMI, можно и через switch, однако при последующем сканировании сети будет получен слишком большой список адресов для подбора.

1. запустить командный процессор cmd.exe
2. очистить кеш протокола arp командой netsh interface ip delete arpcache
3. запустить широковещательный запрос ping 192.168.1.255 на несколько секунд. (указать предположительную подсеть, адаптер сети тоже должен быть настроен на эту подсеть)
4. просмотреть новое состояние arp кеша командой arp -a
5. используя полученный список из 2-3 адресов просто попробовать зайти броузером на один из них .

Пример использования: