SM_0045 - Connessione GPRS/VPN di un ... - Schneider Electric

SYSTEM MANUAL 

ESEMPI INTEGRAZIONE PRODOTTI 

Connessione GPRS/VPN di un modulo 

ETG302x 

SM_0045

SM_0045 - Connessione GPRS/VPN di un modulo ETG302x 

Cosa è una VPN 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

Con il termine VPN si indica una risorsa di connettività, distribuita su una infrastruttura condivisa, che 

mantiene le stesse politiche e prestazioni di una rete privata, ma che, a differenza di quest'ultima, permette 

di ridurre i costi totali di gestione. 

Sostanzialmente una VPN può essere distinta sia per la tecnologia: 

· Trusted: sfrutta uno o più circuiti noleggiati da un fornitore di telecomunicazioni. Ogni circuito si 

comporta come il singolo cavo di una ipotetica rete controllata dall'utente. La riservatezza consiste 

nell'assicurazione, data dal fornitore, che il cliente è il solo ad utilizzare e ad avere accesso ai 

dispositivi di un determinato circuito. Le più diffuse tecnologie impiegate sono: 

o Circuiti ATM; 

o Circuiti Frame Relay; 

o Trasporto di frames di livello 2 su Multiprotocol Label Switching (MPLS); 

o MPLS con restrizioni nella distribuzione delle informazioni di routing attraverso l'uso del 

Border Gateway Protocol (BGP). 

· Secure: utilizza mezzi di comunicazione pubblici e mantiene la riservatezza di quanto trasportato 

mediante l'uso di un protocollo di tunnel crittografato e specifiche procedure di sicurezza. Le 

principali tecnologie impiegate includono: 

o IPsec: principalmente in modalità Tunnel Mode, per connessioni site-to-site; 

o IPsec all'interno di L2TP; 

o SSL 3 o TLS; 

o PPTP. 

· Hybrid: nasce dall'uso combinato di trusted VPN e secure VPN. 

che per l'impiego che se ne fa: 

· Remote access: quando ad accedere alle risorse dell'organizzazione è un utente remoto; 

· Site-to-site (o router-to-router): in generale è un'alternativa diretta all'infrastruttura WAN. In pratica 

permette la connessione di sedi distaccate, di dipartimenti interni o di società con le quali si ha un 

rapporto di collaborazione, ad una parte o alla totalità delle risorse di rete dell'organizzazione. 

I sistemi operativi Microsoft permettono la realizzazione di una VPN senza l'impiego di hardware o software 

aggiuntivo, sia per quanto riguarda la parte server che client. 

Schneider Electric – Pronto Contatto 2


VPN - IPSEC 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

● 

IPSec fornisce un metodo robusto e facilmente espandibile a garanzia della sicurezza del protocollo IP, sia 

esso versione 4 che 6, e dei protocolli di livello superiore (come ad esempio UDP e TCP), proteggendo i 

pacchetti che viaggiano tra due sistemi host, tra due security gateway (ad esempio router o firewall) oppure 

tra un sistema host ed un security gateway. 

L'architettura IPSec offre: 

· Controllo degli accessi; 

· Integrità dei datagrammi; 

· Autenticazione dell'origine dei dati; 

· Rifiuto dei pacchetti introdotti nuovamente in rete (una forma parziale di verifica dell'integrità di 

sequenza); 

· Riservatezza (mediante l'uso della crittografia); 

· Limitata riservatezza del flusso del traffico. 

grazie all'utilizzo di: 

· una coppia di archivi per ogni interfaccia IPSec: uno per la gestione delle politiche di sicurezza 

(Security Policy Database), l'altro per la raccolta dei parametri di ogni singola associazione di 

sicurezza attiva (Security Association Database); 

· due protocolli per la sicurezza del traffico: AH (Authentication Header) ed ESP (Encapsulating 

Security Payload); 

· un protocollo per la gestione del materiale chiave: IKE (Internet Key Exchange). 

e diverse modalità di funzionamento: 

· Modalità Trasporto (Transport Mode): quando, tra due sistemi terminali di una connessione 

IPSec, viene ad essere garantita la sicurezza dei protocolli di livello superiore ad IP; 

· Modalità Tunnel (Tunnel Mode): quando gli attori vengono ad essere i security gateway e la 

sicurezza è data a tutto il pacchetto IP. 

Vediamo adesso in modo più approfondito i singoli componenti dell'architettura per poi passare alle diverse 

modalità di funzionamento. 



VPN - Security Policy Database (SPD) 

●SPD definisce i requisiti di sicurezza per IPSec. E' consultato ogni 

qualvolta sia necessario trattare del 

●traffico, sia in ingresso che in uscita e basandosi su caratteristiche 

legate al protocollo IP oppure a quanto 

●contenuto nei protocolli di livello superiore, permette l'applicazione di un 

semplice criterio: 

●· Scarta: impedirà al pacchetto di entrare/uscire; 

●· Non applicare: non applicherà i servizi di sicurezza al pacchetto in 

uscita e non si aspetterà di 

●averne sul pacchetto in entrata; 

●· Applica: applicherà i servizi di sicurezza al pacchetto in uscita e si 

aspetterà di averne sul pacchetto 

●in entrata. 



VPN - Security Association (SA) e 

Security Association Database (SAD) 

● Una SA è un insieme di accordi circa i protocolli, gli algoritmi crittografici e le 

chiavi da utilizzare per la 

● comunicazione IPSec. 

● Ogni SA, che sia creata manualmente o come vedremo dopo, mediante IKE, 

definisce, anche in base al 

● protocollo utilizzato, che sia esso AH o ESP, un legame di tipo unidirezionale. 

Supponendo, ad esempio, di 

● avere due sistemi, A e B, connessi mediante IPSec, si avrà per ognuno dei due 

una SAingresso ed una SAuscita, 

● aventi però gli stessi parametri dal punto di vista crittografico. 

● SAD è l'archivio all'interno del quale, ogni singolo sistema conserverà un elenco 

delle SA attive, 

● identificandole con un parametro a 32 bit, chiamato Security Parameter Index 

(SPI) ed una serie di dati 

● come l'indirizzo IP di destinazione e l'identificativo del protocollo di sicurezza 

utilizzato (Security Protocol 

● Identifier). 



VPN - IKE (Internet Key Exchange) 

● IKE è un protocollo ibrido di tipo generico che agisce nelle fasi iniziali di una comunicazione, permettendo la 

● creazione di SA e la gestione dell'archivio a queste dedicato (SAD). Prima di passare a vedere come questo 

● viene raggiunto, vediamone i principali elementi costitutivi: 

● · Internet Security And Key Management Protocol (ISAKMP): definisce le procedure ed i formati 

● dei pacchetti per stabilire, negoziare, modificare e cancellare una SA. Fornisce inoltre un'architettura 

● di riferimento per la gestione delle chiavi, indipendente dal protocollo usato per lo scambio delle 

● stesse, dal metodo di autenticazione nonchè dagli algoritmi crittografici impiegati. L'implementazione 

● attuale prevede l'uso combinato delle caratteristiche di due protocolli: 

● o OAKLEY: un protocollo con il quale due parti autenticate possono giungere ad un accordo 

● circa il materiale chiave da utilizzare e di cui IKE sfrutterà le caratteristiche per lo scambio 

● chiave; 

● o SKEME: un protocollo di scambio chiave simile a OAKLEY di cui però IKE utilizzerà 

● caratteristiche diverse come il metodo crittografico a chiave pubblica e quello di rinnovo 

● veloce della chiave. 

● E' di fondamentale importanza notare che, essendo IKE un protocollo generico, potrebbe essere utilizzato 

● per la creazione di SA per differenti protocolli, vi è quindi la necessità di definire quello che è il suo ambito di 

● utilizzo o Domain of Interpretation (DOI). Nel nostro caso, si parlerà quindi di IPSec DOI. Altri protocolli 

● definiranno un proprio DOI. 

● Lo scopo di IKE viene raggiunto attraverso una negoziazione in due fasi: 

● · Fase 1: stabilisce una SA per ISAKMP da utilizzare come canale sicuro per effettuare la successiva 

● negoziazione IPSec, in particolare: 

● o Negozia i parametri si sicurezza; 

● o Genera un segreto condiviso; 

● o Autentica le parti. 

● vi sono due possibili tipi di Fase 1: 

● o Main mode: consiste nello scambio di sei messaggi di cui tre inviati dall'originatore al 

● destinatario e tre di risposta nel senso contrario; 

● o Aggressive mode: utilizza solo tre messaggi. Due messaggi inviati dall'originatore ed uno di 

● risposta. 

● la differenza principale, oltre al numero di messaggi utilizzati risiede nel fatto che la prima modalità, 

● anche se più lenta, garantisce una protezione dell'identità. 

● 4 

● · Fase 2 (definita anche "Quick mode"): è simile ad una negoziazione "Aggressive mode" ma meno 

● complessa visto che sfrutta la comunicazione già in atto. Serve principalmente a negoziare dei 

● servizi IPSec di carattere generale ed a rigenerare il materiale chiave. 

● Dopo questa panoramica sui componenti, in cui ho volutamente tralasciato la struttura dei messaggi 

● scambiati, passiamo a vedere le varie modalità di funzionamento. 



VPN - Authentication Header (AH) 

● Il protocollo AH garantisce sia per l'intestazione IP che per i dati 

trasportati nel pacchetto, l'autenticazione, 

● l'integrità e la protezione contro un eventuale riutilizzo ma non la 

riservatezza. 

● Per raggiungere il suo scopo utilizza una funzione crittografica di 

hash del pacchetto così che il destinatario 

● possa verificarne l'integrità ed al tempo stesso l'identità del mittente. 

● AH può essere implementato nella modalità Transport Mode 

(utilizzando la porta IP 51), vedi fig1 

Figura 1 

● o nella modalità Tunnel Mode, in cui l'intero pacchetto IP originario 

viene incapsulato in un nuovo pacchetto, vedi fig2 

● questa modalità è quella più utilizzata tra gateway o gateway e 

sistema host, per trasmettere in modo sicuro 

● i dati attraverso un mezzo non sicuro, ad esempio Internet, creando 

una vera e propria rete privata virtuale 

● (VPN). 

● Come ultima opzione, AH può essere combinato il protocollo ESP. 

Figura 2 



VPN - Encapsulating Security Payload 

(ESP) 

●Il protocollo ESP garantisce, oltre a 

quanto visto in precedenza per il 

protocollo AH, anche la riservatezza 

●delle comunicazioni. 

●Anch'esso può essere implementato 

nella modalità Transport Mode (utilizza 

la porta IP 50). Vedi Fig.1 

Figura 1 

●che Tunnel Mode. Vedi Fig.2 

●e in modalità combinata con AH. 

Figura 2 



Architettura 

ETGITALY1 – etgitaly1.dyndns.org 

ETGITALY – etgitaly.dyndns.org 

MODBUS 

ip:173.016.004.008 

sm:255.255.000.000 

gt:0.0.0.0 

M340 

ip:192.168.010.010 

sm:255.255.255.000 

gt:192.168.010.005 

ETHERNET 

ip:192.168.010.005 

sm:255.255.255.000 

gt:0.0.0.0 

Master 

SIM DATI: +39 3355175803 

SIM VOCE: +39 3299020XXX 

SIM DATI: +39 3345114711 

SIM VOCE: +39 3357900254 

Slave 

OTB1S0DM9LP 

Add: 5 

BaudRate: 38400 

Parità : EVEN 

ETG3021 

Modem 

GSM 

Interno 

ETG3021 

Modem 


Interno 

PCSERRY – pcserry.dyndns.org 

ADSL IP FISSO 

IP: 088.043.052.211 

SM: 255.255.255.240 

GT: 088.043.052.209 

DNS1: 151.099.000.100 

DNS2: 1510.99.125.001 



EtgItaly1 – Configurazione Seriale 



EtgItaly1 – Configurazione IP 



EtgItaly1 – Configurazione controllo 

accessi 



EtgItaly1 – Configurazione Modem 



EtgItaly1 – Configurazione VPN 



EtgItaly1 – Configurazione Phone List 



EtgItaly1 – Configurazione DNS 



EtgItaly1 – Configurazione SNTP 



EtgItaly1 – Configurazione SNMP 



EtgItaly1 – Diagnostica logfile modem 



EtgItaly1 – Monitor data editor 



EtgItaly – Configurazione Seriale 



EtgItaly – Configurazione IP 



EtgItaly – Configurazione controllo 

accessi 



EtgItaly – Configurazione Modem 



EtgItaly – Configurazione VPN 



EtgItaly – Configurazione Phone List 



EtgItaly – Configurazione DNS 



EtgItaly – Configurazione SNTP 



EtgItaly – Configurazione SNMP 



EtgItaly – Diagnostica logfile Modem 



EtgItaly – Diagnostica connessione VPN 



EtgItaly – Monitor data editor 



Indirizzo IP del PC 

Attenzione !!! 

Il PC deve avere un indirizzo IP 

statico o dinamico, ma in ogni 

caso deve essere PUBBLICO. 

Cosa vuol dire Pubblico: essere 

autenticato sulla rete con un 

indirizzo ip visibile da tutti gli altri 

nodi internet, quindi non 

‘ruotato’(routed) e non 

‘nattato’(dietro una NAT); ad 

esempio un comune router 

ADSL tipo ‘Alice’ da al PC un IP 

che è sempre ‘192.168.xxx.yyy’, 

ma lui assume sulla rete un ip 

pubblico. Ciò vuol dire che sulla 

rete si vedrà l’IP del router e non 

quello del PC! 



Software da installare sul PC 

●Scaricare ed installare il SW greenbow VPN Client dal sito 

http://www.greenbow.net 

●Configurarlo come di seguito indicato 

●Al termine dell’installazione, verificare in ‘Pannello di controllo’- 

’Strumenti di Amministrazione’-’Servizi’ che il servizio ‘Servizi IPSEC’ 

sia in condizione di Arresto o Disabilitato; andrebbe in conflitto con il 

servizio di GreenBow che si chiama ‘TGBIKE Starter’ 

●Questo software si può acquistare anche online oppure può lavorare in 

modalità DEMO per 30gg. 



Configurazione Greenbow per connessione 

PC su ETGITALY - Autenticazione 



Configurazione Greenbow per connessione 

PC su ETGITALY – Configurazione IPSec 



Greenbow per connessione PC su 

ETGITALY – Console connessione VPN 




ETGITALY – IPSec connesso 




ETGITALY – Console connessione VPN 



OPPURE 

●Utilizzo di IPSEC CMD senza l’ausilio del software GREEMBOW. 

●Nelle slide che seguono verrà indicato come installare il servizio in 

modo opportuno 



Connessione mediante IPSec 

●Anzitutto occorre installare (ammesso che non lo sia già) il servizio 

IPSEC di windows 

●Ipseccmd fa parte degli strumenti di supporto di windows XP Service 

Pack2. Fare riferimento all’articolo 838079 della KnowledgeBase di 

Microsoft per l’installazione. http://support.microsoft.com/kb/838079 

●Gli Strumenti di supporto non vengono installati automaticamente 

assieme a Windows XP SP2. Per installare gli Strumenti di supporto in 

un computer che esegue Windows XP, eseguire il file Setup.exe dalla 

cartella \Support\Tools sul CD di Windows XP. 

●Al termine dell’installazione, dopo aver riavviato il PC, verificare che nei 

servizi di windows sia attivo ‘servizio IPSec’ e qualora fosse stato 

installato un altro servizio ipsec quale Greenbow, disattivarlo(disattivare 

greenbow). 



EtgItaly – Configurazione VPN per 

IPSec 



EtgItaly1 – Configurazione VPN per 

IPSec 



Installazione IPSec 

●Nei riquadri delle due slide precedenti, la connessione del PC è stata 

evidenziata in quanto differisce rispetto alla configurazione che veniva 

definita per Greenbow che richiede un indirizzo nel campo ‘Remote 

LAN’ 

●Dallo stesso PC come nell’esempio in esame è possibile connettersi 

con tutti e due i moduli ETG; è sufficiente creare un file batch 

(VPNON.bat) che contiene le righe di comando come indicato nella 

slide seguente 



…copiare ed incollare… 

●ipseccmd -1s 3DES-SHA-2 -n AH[MD5] -f 0=173.16.*.* -t 

etgitaly1.dyndns.org -a PRESHARE:"1234" -p "vxWorksTunnel" -r 

"PCToTarget1" -1k 3600s -w reg -x 

●ipseccmd -1s 3DES-SHA-2 -n AH[MD5] -f 173.16.*.*=0 -t 

serrypc.dyndns.org -a PRESHARE:"1234" -p "vxWorksTunnel" -r 

"TargetToPC1" -1k 3600s -w reg -x 

●ipseccmd -1s 3DES-SHA-2 -n AH[MD5] -f 0=192.168.10.* -t 

etgitaly.dyndns.org -a PRESHARE:"1234" -p "vxWorksTunnel" -r 

"PCToTarget" -1k 3600s -w reg -x 

●ipseccmd -1s 3DES-SHA-2 -n AH[MD5] -f 192.168.10.*=0 -t 

serrypc.dyndns.org -a PRESHARE:"1234" -p "vxWorksTunnel" -r 

"TargetToPC" -1k 3600s -w reg -x 



Test della connessione 

●A questo punto basta fare un semplice PING verso l’indirizzo 

192.168.10.5 per vederne la risposta, oppure fare un ping verso 

l’indirizzo 173.16.4.8 ed anche questo risponderà 

●Ad operazioni ultimate è sufficiente chiudere la connessione con un 

comando come il seguente da inserire anch’esso in un file .bat 

●ipseccmd -p "vxWorksTunnel" -w reg -y -o 



Possibili configurazioni 

●E’ possibile ottenere diverse funzionalità in funzione del fatto che si 

voglia utilizzare la sola connessione GPRS oppure anche una 

connessione VPN. 

●E’ estremamente importante ricordare che una connessione VPN, è 

sicura in quanto i dati che transitano sono tutti cifrati; l’operazione di 

cifratura è tutt’altro che semplice ed ovviamente introduce un ritardo su 

tutti i pacchetti in transito che ovviamente vengono codificati prima 

dell’invio e decodificati all’arrivo. 



Configurazione 1 

PLC_3 

ETG_1 

PLC_1 

ETG_2 

ETHERNET 

PLC_2 

ETHERNET 

OTB_1 

MODBUS 

Master 

ETG3021 

ETG3021 

Modem 


Interno 

Modem 


Interno 

Slave 

PC_1 

ADSL IP PUBBLICO 



Possibilità della configurazione 1 senza 

VPN 

●Si suppone che le SIM GPRS abbiano un normale contratto telefonico e 

l’indirizzo IP ottenuto sia variabile 

●Chiunque al mondo su una connessione Internet accede ad ETG_1 ed 

ETG_2 

●PC_1 accede ad ETG_1 

●PC_1 accede ad ETG_2 

●PC_1 accede al PLC_2 

●PC_1 accede ad OTB_1 

●Cose non permessa: 

● PC_1 non accede a PLC_1 e PLC_3 

● ETG_1 non accede a ETG_2 

●Quindi: 

● Senza VPN si accede esclusivamente alle ETG ed ai dispositivi che sono 

sotto la seriale modbus (Gateway TCP/Seriale) 



Cnf 1 …in sintesi 

PLC_3 

ETG_1 

PLC_1 

ETG_2 

ETHERNET 

PLC_2 

ETHERNET 

OTB_1 

MODBUS 

Master 

ETG3021 

ETG3021 

Modem 


Interno 

Modem 


Interno 

Slave 

PC_1 




Configurazione 2 

PC_2 

PLC_3 

ETG_1 

ETHERNET 

PLC_1 

ETHERNET 

ETG_2 

OTB_1 

MODBUS 

Master 


ETG3021 

PLC_2 

Modem 


Interno 

Slave 

PC_1 

ETG3021 

Modem 


Interno 




Possibilità della configurazione 2 con 


● Si suppone che sul PC ci sia installato il software client VPN 

● Si suppone che le SIM GPRS abbiano un normale contratto telefonico e 

l’indirizzo IP ottenuto sia variabile 

● PC_1 accede ad ETG_1, ETG_2, PLC_1, PLC_2, PLC_3, OTB_1(a tutto) con 

tempi di risposta al ping indicativamente intorno a 650msec(ATTENZIONE!!! 

Dipende dalla distanza dell’apparato dalla centralina telefonica più vicina, dal 

provider, ecc…) 

● PLC_1 accede ad ETG_2, PLC_2, PLC_3, OTB_1, ETG_1 (scambio dati i9 

● PLC_3 accede ad ETG_2, PLC_1, PLC_3, OTB_1, ETG_1 

● PC_2 accede ad ETG_1, ETG_2, PLC_1, PLC_2, PLC_3, OTB_1 con tempi di 

risposta al ping indicativamente intorno a 1,1 – 1,2 sec(ATTENZIONE!!! 

Dipende dalla distanza dell’apparato dalla centralina telefonica più vicina, dal 

provider, ecc…). Questo significa che un sistema di programmazione posto su 

PC2 per la programmazione di un dispositivo dietro l’ETG_1 potrebbe anche 

non connettersi. 

● ETG_1 non accede ad ETG_2 a meno che i contratti GPRS non siano con IP 

fisso; inoltre non è possibile ATTUALMENTE utilizzare come ‘Servizio’ un’altra 

ETG connessa su GPRS, in quanto il servizio ad oggi vorrebbe utilizzare il 

canale Ethernet fisico e non la connessione remota. 



Cnf 2 …in sintesi 

PC_2 

PLC_3 

ETG_1 

ETHERNET 

PLC_1 

ETHERNET 

ETG_2 

OTB_1 

MODBUS 

Master 


ETG3021 

PLC_2 

Modem 


Interno 

Slave 

PC_1 

ETG3021 

Modem 


Interno 




Considerazioni finali 

●Alcuni provider nel territorio italiano, forniscono anche SIM con indirizzo 

IP fisso su connessione GPRS, ed in alcuni casi forniscono anche un 

servizio MOBILE ‘privato’, ovvero l’IP fisso rilasciato sulla rete GPRS è 

dedicato a quel specifico cliente(un po come se fosse una VPN in 

ambito telefonico) e non è visibile sulla ‘rete’; questo garantisce la 

velocità tipica della rete GPRS (con tutte le limitazioni proprie di questa 

tecnologia), permette la trasparenza come indicato nella 

‘Configurazione 2’ senza dover configurare sulle ETG una VPN, 

annullando di fatto anche tutte le limitazioni sulla criticità della 

programmazione (in ogni caso è meglio verificare quali sono le 

caratteristiche della rete GPRS in quella specifica posizione). 

●Verificare sempre che il provider scelto per la connessione GPRS non 

abbia delle limitazioni in termini di porte aperte e quantomeno che 

l’indirizzo IP rilasciato su GPRS sia pubblico. 



…ultima nota sul GPRS. 



COMPONENTI 

Oggetto 


Materiali 

Codice 

Versione 

TSXETG3021 V1.1 

WEBDESIGNER V2.12 

SISTEMA OPERATIVO PC WIN XP SP2 

Link 

Struttura di una rete 

http://www.webprog.net/home/ 

Varie 

Versione di questo documento V:1.0 

Redatto da: Pronto Contatto: +390112281203 

Ultima Revisione Data: 30 Ottobre 2008

SM_0045 - Connessione GPRS/VPN di un ... - Schneider Electric

Create successful ePaper yourself

Delete template?

Save as template?