PDA

Visualizza la versione completa : Vpn per controllo plc da remoto


nglrossi
02-05-2004, 17:12
Ciao a tutti, vi espongo il mio problema...

un mio cliente mi ha chiesto di poter controllare dalla sua sede reti tcp/ip di macchinari plc da lui installati in giro x il mondo (partners, clienti e filiali, il primo da fare a settimane sarebbe in siberia!!).

In pratica i macchinari sono in una rete ethernet con schede 10/100 o wireless e un programma di controllo installato su pc e' in grado di controllarle, aggiornarne e correggerne il software di controllo e fare troubleshooting.

La sede in italia ha un ip pubblico da cui lavorera' l'addetto alla teleassistenza.

I requisiti sono affidabilita' e versatilita', in ultimo i costi (e' la prima volta che un cliente mi dice una cosa simile, ma e' un servizio che lui rivenderebbe a caro prezzo, per cui non vuole figure barbine..).

Partiamo dal presupposto di non conoscere la topologia della rete di destinanazione, nel senso che i macchinari verrebbereo configurati in italia prima della spedizione e li si metterebbe in una rete privata tutta loro. Al cliente che li acquistera' si chiedera' un accesso a internet (e a seconda dei casi si potrebbe trattare di un ip pubblico o no.)

La prima cosa che mi e' venuta in mente e' un pc con winsozz 2000 (gli applicativi girano solo li') con PcAniwhere o simili. Il tecnico in siberia, in caso di malfunzionamento o necessita' di intervento chiama l'helpdesk e instaura il collegamento col pc che gestisce la teleassistenza, il resto e' semplice.

Vantaggi di questa soluzione: semplicissima da mettere in piedi (il pc si prepara in un paio d'ore), funziona in ogni caso: il "master" ha ip pubblico e non ci dovrebbero essere problemi di "irraggiungibilita'" indipendentemente dal tipo di rete diconnessione dell'utente finale.

Svantaggi: a fronte di numerose installazioni si presentano innumerevoli pc sparsi per il mondo con un sistema operativo notoriamente non semplice da mantenere (se il figlio dell'amministratore delegato siberiano decide di installare un gioco con crack russe?!?) e software (quelli di controllo dei macchinari) che costano migliaia di euro e sono molto impegnativi da tenere aggiornati con chiavi rilasciate dietro complicate procedure di attivazione etc.
Inoltre i componenti hardware con cui ho a che fare fanno letteralmente schifo, sia che si tratti di pc da 400 euro che di server (sto avendo problemi con banchi di ram) da oltre 50.000 euro. Sarebbe spiacevole scoprire che il pc di controllo in siberia ha un banco di ram difettoso, e' caduta una testina del disco, si e' bruciato un trasformatore...

La seconda idea che mi e' venuta in mente e' mettere un gateway vpn in italia e uno in siberia, due pc linux con openvn.

vantaggiIn questo caso andrei ad abbattere i problemi software (l'unica schifezza di windows 2000 e' il pc da cui si fa teleasssistenza in italia e si puo' pensare di formattarlo anche una volta al mese), inoltre l'unica versione del software di controllo sarebbe in italia, facilmente manutenibile e, a fronte di numerose filiali "allacciate" decisamente "risparmiosa". Non ho grosse esperienze di vpn con openvpn se non didattiche ma ho alcune settimane per mettere su dei laboratori per provare le varie casistiche di problemi (ippubblico-ippubblico, ippubblico-ipnattato, ippubblico-ippattato..)

svantaggi: i problemi di qualita' e quantita' dei componenti hardware non cambia.

Terza soluzione: i due gateway vpn sono hardware.

Vantaggi: mi viene da pensare che la qualita' dei componenti sia decisamente migliore, inoltre ci sono meno pezzi di un pc. insomma piu' robusti e resistono meglio anche alla donna delle pulizie che stacca la spina e la riattacca.

svantaggi: non ho esperienza su apparecchi di questo genere se non router e AP di profilo home. Inoltre non ne ho sottomano due per fare dei laboratori. Sarebbe spiacevole ordinarne due alla Cisco per scoprire che sietro PAT non funziona una fava... (leggi il cliente mi manda a cagare e il mio capo me li fa mangiare).


Riassumendo: il mio dubbio e' sulla versatilita' di una architettura (hardware o software) tipo vpn a fronte di una della due parti invariabile (ip fisso e pubblico) e dell'altra che a seconda della sede da controllare puo' essere un ip pubblico statico, un ip pubblico dinamico, un ip privato dietro nat o addirittura pat...

Grazie a chi mi sapra' dare un po' di aiuto..

flygigi
04-05-2004, 07:07
Originariamente inviato da nglrossi
Svantaggi: a fronte di numerose installazioni si presentano innumerevoli pc sparsi per il mondo con un sistema operativo notoriamente non semplice da mantenere (se il figlio dell'amministratore delegato siberiano decide di installare un gioco con crack russe?!?) e software (quelli di controllo dei macchinari) che costano migliaia di euro e sono molto impegnativi da tenere aggiornati con chiavi rilasciate dietro complicate procedure di attivazione etc.
Inoltre i componenti hardware con cui ho a che fare fanno letteralmente schifo, sia che si tratti di pc da 400 euro che di server (sto avendo problemi con banchi di ram) da oltre 50.000 euro. Sarebbe spiacevole scoprire che il pc di controllo in siberia ha un banco di ram difettoso, e' caduta una testina del disco, si e' bruciato un trasformatore...


direi che qualsiasi soluzione adotterai queste veriabili ci saranno sempre.
In sintesi, se invii al cliente una macchina con i banchi di ram difettosi, indipendentemente dalla tecnologia/hardware che utilizzerai per fare assistenza remota, i banchi saranno da cambiare e purtroppo non esiste ancora il teletrasporto :D stesso discorso vale per le testine dei dischi o per l'alimentatore.
Il figlio dell'amministratore DEVE stare fermo, altrimenti sono fatti loro se la macchina non funziona pi correttamente, soprattutto se si tratta di macchine mission critical.

Insomma secondo me parti da un punto di vista sbagliato, le macchine che devi spedire in capo al mondo dove non cia sia un tuo referente in grado di ripristinare o modificare eventuale hardware farlocco DEVONO partire perfette, poi purtroppo la rottura sempre da tenere in considerazione, ma stiamo parlando di elettronica ....
Quindi preoccupati prima delle macchine, rendile affidabili dal punto di vista hardware, blindale dal punto di vista software (leggi gestione degli utenti e delle policy).

Per quanto riguarda la problematica della teleassistenza, avendo situazioni cos variegate e tendenzialmente variabili io opterei per un prodotto tipo PCAnyWhere che necessita una banalissima configurazione da parte tua e il collegamento di un cavo telefonico da parte del cliente .... ricordati che stiamo parlando di teleassistenza (spero/presumo occasionale) e non di telelavoro !!

Spero di esserti stato utile !

gigyz
04-05-2004, 10:15
non sono certo un esperto in materia ma io fossi in te scarterei all'istante soluzioni che prevedono soft Microsoft e anche openvpn che sar facile da configurare per non ai livelli di Freeswan/OpenSwan. IMHO la soluzione migliore quella hardware che ti risparmia un sacco di casini, se opti per il server come ha detto flygigi questo dovrebbe essere blindato altro che figlio del capo che ci mette i giochini e cmq anche la soluzione hw se il figlio del capo lo usa per aprire le noci di cocco ... :gren: (lo so che in siberia molto improbabile). Per le rotture hw non puoi farci nulla ma quello che non c' non pu rompersi e in una soluzione hw c' molto meno che in un server e soprattutto c' molto meno software.

Boromir
04-05-2004, 10:50
io ho uso openvpn , se la configuri ad hoc con certificati ssl e chiave rsa , stai sicuro .Non difficile da configurare ed veramente performante !!! Prima di vagliare openvpn ho ascoltato vari news e c' gente che lo stesso vpn GW lo usa con sopra una ventina di vpn (openvpn) con macchine non particolarmente carrozzate !

gigyz
04-05-2004, 13:42
quello che importa non il numero di tunnel ma la banda da criptare, il mio server con un pentium 133mmx e 40 Mb di ram tiene 4,5Mbit

P.S: dimenticavo, uso FreeSwan con AES

Loading