Remote Access

1.1. Come funziona

Nei paragrafi seguenti verrà spiegato come configurare il WE200 ed il software QuickTunnel al fine di ottenere un sistema funzionante ed utilizzabile fin da subito. Una volta terminata la configurazione, la funzione Remote Access opererà nel seguente modo:

• Il software QuickTunnel connette via VPN il PC nel quale viene utilizzato con il portale Nethix Portal
• Il software QuickTunnel crea delle porte seriali virtuali nel PC nel quale viene utilizzato. Queste porte, anziché riferirsi ad una porta fisica presente nel PC, non sono altro che indirizzi IP (raggiungibili dalla VPN) che verranno chiamati da QuickTunnel. Il PC crederà invece che si tratti di porte seriali fisiche e le metterà a disposizione di qualunque software che ne richieda l’utilizzo
• WE200 si connette via VPN al portale Nethix Portal. Da questo momento in avanti WE200 ed il PC appartengono alla stessa rete VPN e sono in grado di comunicare tra loro come se fossero collegati direttamente da un cavo di rete
• WE200 apre le proprie porte seriali fisiche al PC che riesce a raggiungerlo all’interno della rete VPN
• Quando un sistema di tipo SCADA-HMI (o un qualunque software che richieda l’utilizzo di una porta seriale) viene avviato nel PC del centro di controllo, richiederà di selezionare una porta seriale alla quale si aspetta che sia collegato il dispositivo/macchinario da controllare. In questo caso, andrebbe scelta la porta seriale virtuale creata da QuickTunnel
• Tutto il traffico seriale generato dal sistema SCADA-HMI viene “inviato” a WE200 tramite connessione internet, all’interno della rete VPN (quindi in modo sicuro)
• Una volta ricevuti i pacchetti, WE200 fa da “ponte” verso le proprie porte seriali fisiche, inviando quindi il traffico generato dal sistema SCADA-HMI ai dispositivi ad esse collegate
• Allo stesso modo, quando i dispositivi da controllare restituiscono una risposta, WE200 se ne fa carico inviando quanto ricevuto dalla sue porte seriali fisiche verso l’indirizzo IP del PC del centro di controllo, utilizzando la connessione VPN
• Il software QuickTunnel garantisce che il traffico inviato da WE200 venga inoltrato alle porte seriali virtuali, e quindi al sistema SCADA-HMI.

2.1. VPN

Il metodo più semplice e sicuro per consentire al sistema SCADA-HMI di raggiungere la rete nella quale si trova l’impianto sul quale si intende operare da remoto, è quello di utilizzare una connessione VPN. La VPN consente infatti di bypassare eventuali blocchi imposti dal gestore della rete nella quale si trovano i dispositivi da controllare, andandone a creare una indipendente e totalmente sicura.

Nethix mette a disposizione il proprio servizio VPN basato sul portale Nethix Portal che offre all’utente la possibilità di gestire la propria rete VPN rendendola operativa in poco tempo e senza richiedere conoscenze tecniche particolari.

Affinché la comunicazione VPN funzioni, oltre all’attivazione di un account in Nethix Portal occorre che entrambe le componenti chiamate a comunicare tra loro (in questo caso il WE200 a cui è collegato il dispositivo/macchinario da controllare ed il PC nel quale gira il software SCADA-HMI) siano dotate di un client VPN compatibile. WE200, di default, ha in dotazione un client VPN compatibile con il servizio VPN di Nethix Portal e con qualunque altro server VPN utilizzante lo standard OpenVPN. L’abilitazione del servizio VPN in WE200 è pertanto immediata e verrà descritta nei paragrafi successivi.

Per dotare del suddetto client VPN il PC che si intende utilizzare, invece, sarà sufficiente scaricare il software QuickTunnel.

2.2. QuickTunnel

QuickTunnel è un software sviluppato da Nethix e scaricabile gratuitamente (cliccare qui per il download e qui per il manuale), che consente di gestire l’elenco dei WE200 associati al proprio account, la connessione VPN verso uno o più domini e la configurazione delle porte seriali virtuali da configurare nel PC che gestisce il software SCADA-HMI al fine di comunicare con i dispositivi da controllare.

Una volta installato il software come descritto nel manuale dedicato, saranno sufficienti pochi click per configurare tutto l’occorrente.

3.1. Connettere il WE200 alla rete VPN

Per prima cosa occorre accendere il dispositivo ed attendere che completi le operazioni di inizializzazione (circa 3 minuti).

Sarà quindi possibile raggiungere l’interfaccia Web integrata digitando l’indirizzo IP locale di WE200 in un comune browser. Se l’indirizzo IP non è stato cambiato in precedenza, WE200 risponderà al 192.168.1.160. Nel caso in cui non fosse possibile effettuare il collegamento, verificare le impostazioni del proprio PC o consultare eventualmente il manuale dedicato (Ripristinare l’indirizzo IP di WE200).

Una volta raggiunta l’interfaccia Web di WE200 verrà chiesto di inserire i dati di login al dispositivo.

Questi dati non sono in nessun modo legati a quelli utilizzati per autenticarsi nel software QuickTunnel e possono essere cambiati in qualsiasi momento dall’interfaccia di WE200. Di default i dati di accesso sono:

• username admin
• password admin

Sarà ora sufficiente recarsi alla pagina Networking → Services → VPN dell’interfaccia Web al fine di abilitare il servizio.

Dopo aver abilitato la spunta nel campo Enable, selezionare l’opzione Auto dal campo VPN mode e cliccare Save, i campi VPN Service URL e VPN Service port verranno infatti compilati da soli.

Da questo momento WE200 cercherà di stabilire una connessione VPN con il server Nethix Portal. La buona riuscita dell’operazione e la velocità e stabilità della connessione VPN dipendono direttamente dall’interfaccia di rete che si è deciso di utilizzare. WE200 mette infatti a disposizione dell’utente le seguenti interfacce di rete, ciascuna delle quali può essere usata per stabilire la connessione VPN:

• LAN
• WIFI
• HSPA/LTE

Per ulteriori informazioni sulla connettività di WE200 consultare il manuale relativo (Manuale WE200).

3.2. Connettere il PC alla rete VPN

Una volta ottenuto un account valido da utilizzare con Nethix Portal ed attivato la connessione VPN nel dispositivo WE200, per connettere il PC alla rete VPN sarà sufficiente scaricare il software gratuito QuickTunnel ed avviarlo. Alla richiesta di inserimento di uno username ed una password, inserire gli stessi usati per registrarsi a Nethix Portal.

Una volta effettuato l’accesso verranno visualizzati tutti i dispositivi WE200 associati all’account utilizzato. Selezionandone uno sarà possibile stabilire una connessione VPN con il dispositivo e con tutti quelli facenti parte dello stesso dominio. Nella parte sinistra dell’interfaccia, QuickTunnel darà la conferma dell’avvenuta connessione.

Per terminare la connessione basterà cliccare l’apposita icona

o terminare semplicemente QuickTunnel.

4.1. Abilitare le porte seriali in WE200

Prima di poter collegare fisicamente i dispositivi/macchinari da controllare ad una porta seriale/USB di WE200, occorre impostare alcuni parametri fondamentali per il corretto funzionamento. Una volta effettuato l’accesso all’interfaccia Web di WE200, recarsi alla pagina Networking → Remote Access scegliendo, in base alle proprie esigenze, tra Serial (per configurare le porte RS232 ed RS485) o USB. Si ricorda inoltre che è possibile abilitare il servizio di Remote Access anche su tutte le seriali/USB simultaneamente.

A questo punto sarà possibile abilitare una o più porte seriali/USB semplicemente spuntando l’opzione Enable ad esse riferita. I parametri da configurare per consentire un corretto funzionamento sono:

• Interface Dall’elenco sarà possibile selezionare l’interfaccia di rete che WE200 dovrà utilizzare per la funzione Remote Access. Affinché il software QuickTunnel possa comunicare con WE200, selezionare l’opzione VPN
• Port In questo campo andrà inserito un numero (a propria scelta) che permetterà a QuickTunnel di individuare la seriale corretta in fase di comunicazione. Questo parametro identifica univocamente la porta seriale che si sta configurando, consentendo quindi all’utente di selezionare la stessa interfaccia di rete (dal campo Interface) su più porte seriali
• Baud rate e Advanced Il campo Baud rate e l’opzione Advanced permettono invece di configurare i parametri di comunicazione tipici di una porta seriale (velocità, bit di stop, ecc.) che vengono spiegati nel manuale relativo a WE200 (Configurare Remote Access).

Al termine delle operazioni cliccare Save.

Si avrà una conferma che tutte le operazioni sono andate a buon fine quando nel panel status posto alla destra dell’interfaccia Web di WE200, l’indicatore relativo alla porta abilitata diventerà verde:

Da questo momento WE200 funzionerà esattamente come un gateway industriale fungendo da “ponte” tra il centro di controllo e l’impianto da controllare.

4.2. Creare le porte virtuali nel PC

La creazione delle porte virtuali nel PC è resa estremamente rapida dal software QuickTunnel. Una volta installato ed effettuato l’accesso utilizzando le proprie credenziali di Nethix Portal (vedere manuale QuickTunnel) sarà sufficiente individuare il WE200 configurato nel paragrafo precedente dalla lista dei dispositivi disponibili, e selezionarlo al fine di stabilirvi una connessione VPN come spiegato nel paragrafo 3.2.

Ottenuta conferma della connessione mediante l’indicatore posto sulla sinistra dell’interfaccia, sarà possibile procedere con la creazione delle porte virtuali cliccando l’icona apposita:

Per aggiungere una porta seriale virtuale sarà sufficiente cliccare l’icona evidenziata nell’immagine sotto riportata.

Verrà quindi richiesto di selezionare la porta fisica del dispositivo a cui si sta facendo riferimento (quella/e configurata/e nel paragrafo 4.1), potendo scegliere tra le opzioni

• RS232A
• RS232B
• RS485
• USB

presenti nel campo Type.

Una volta selezionata la porta desiderata sarà sufficiente cliccare il tasto Create per procedere. Verrà quindi creata una porta seriale virtuale nel PC in uso, che verrà riportata nella lista delle porte disponibili, come da immagine sotto riportata.

Da questo momento in avanti, tutto il traffico generato nella porta virtuale presente nel PC verrà inviato in maniera trasparente (indipendentemente dal protocollo di comunicazione utilizzato) al dispositivo collegato alla porta seriale fisica del WE200 selezionato, e viceversa.