Date : April 25, 2017
Unsere Produkte : Baltos | NetCom Plus | NetCAN Plus | viaVPN Router

Themen hier :
Was ist viaVPN | Warum viaVPN nutzen | Geräte mit der Option viaVPN (NetCom/NetCAN Plus | Baltos ARM PC)

Was ist das System viaVPN, und welche Funktionen bietet es

viaVPN besteht hauptsächlich aus drei Komponenten: Router, Cloud Server und einer Software "Client Utility". Mit diesem System installieren und betreiben Nutzer besonders sichere Verbindungen zu jeder Art Maschine, Sensor oder Aktor. Die komplexen Hintergründe der Anforderungen zur Sicherheit bleiben verborgen hinter einem leicht verständlichem Interface, wodurch sichere Fernwartung für jedermann möglich ist, auch ohne tiefere Kenntnisse zu IPsec und anderem.

Das Funktionsprinzip wird in diesem Bild erklärt. Unten rechts findet sich eine Maschine, diese steht für jegliche in einer Produktionsstätte installierte Hardware. Diese Maschine ist mit dem lokalen Netzwerk der Fabrik verbunden, entweder direkt über Ethernet oder über ein Gateway für serielle Ports / CAN Bus / Digital-I/O. Der Anschluss an das LAN ermöglicht allen Rechner in diesem LAN den Zugriff auf die Maschine zur Überwachung, Steuerung oder Wartung.
Nun ist es die neue Aufgabe Fernzugriff auf die Maschine zu ermöglichen, so dass der Techniker des Herstellers den gleichen Zugriff erhält ohne persönlich in die Fabrik zu fahren. Um diese Möglichkeit einzurichten wird zuerst ein kleiner Router installiert, so dass sich jetzt die Maschine über den Router mit dem LAN verbindet. Dieser Router lässt den gleichen Zugriff zur Maschine zu wie vorher, aber parallel baut er eine sichere VPN Verbindung zu einem der von viaVPN betriebenen Cloud Server auf.
Auf der anderen Seite (unten links) nutzt der Techniker die Software Client Utility auf seinem PC. Damit erhält der Techniker in der gleichen Art Zugriff zum Cloud Server, und er kann eine sichere Verbindung zu einem Router anfordern. Der Cloud Server erstellt dann diese Verbindung, und gibt so dem Techniker Zugriff zur Maschine.

Falls das Firmennetzwerk keinen Internet Zugang hat, kann der Router ein 3G/4G Modem verwenden. Auch der Techniker mit seinem Laptop kann Mobilfunk, WLAN in einem Internet Café oder jede andere Art Zugang nutzen.
Jeglicher Datenaustausch zwischen Router und Client Utility ist durch SSL und AES-256 geschützt. Das gilt für normale Verbindungen mittels https, aber vor allem ist dies erforderlich für die VPN Verbindung. Dies garantiert den Schutz der übertragenen Daten vor Überwachung durch jegliche dritte Partei, und auf der anderen Seite stellt es sicher, dass nur ausgewählte Bediener sich verbinden können; keine andere Person hat die Möglichkeit sich als Mitarbeiter zu tarnen.

Welche Vorteile bietet das System viaVPN vor anderen Arten des Fernzugriffs

Heute sind viele Maschinen bereits mit Ethernet Ports ausgerüstet, um Anschluss an das lokale Netzwerk zu erhalten, und sie verwenden TCP/IP für den Datentransport. Daher könnte man sie prizipiell über das Internet erreichen, und nicht nur von anderen Computern im LAN.

Allerdings wird die Firewall des Kunden-Netzwerks solche Zugriffe abwehren, aus guten Gründen. Daher steht der Administrator des LAN vor der Aufgabe, spezielle Zugriffe des Technikers zu der Maschine zuzulassen, wobei gleichzeitig alle anderen Zugriffe vom Internet weiterhin blockiert bleiben sollen. Administratoren sind für diese Aufgaben nicht dankbar.
Um das Problem zu vermeiden, könnte die Maschine in Gegenrichtung eine Verbindung zum Netz des Herstellers aufbauen. Administratoren sind auch nicht glücklich über diese Art der Rückrufe. Aber wichtiger ist jetzt, dass nun der Administrator auf Hersteller-Seite spezielle Zugriffe von jeder der installierten Maschinen zulassen muss, und weiterhin unerwünschte Zugriffe blockiert werden sollen.

Die Lösung sind die Cloud Server von viaVPN. Sowohl der Router als auch die Client Utility Software öffnen Verbindungen vom jeweiligen LAN zum Internet, nicht in der anderen Richtung. Typische Konfigurationen von Firewalls erlauben diese Zugriffe bereits (wie Surfen im Internet), oder sie erfordern nur minimale Anpassungen (in Router und client Utility). Die Cloud Server übertragen nun Daten von einer sicheren Verbindung zur anderen, in gewissem Sinne werden diese beiden VPN Tunnel "gekoppelt".

Geräte mit der Option viaVPN

( NetCom Plus / NetCAN Plus | Baltos ARM RISC )
Die übliche Art viaVPN zu installieren bedient sich eines dedizierten Routers, welcher Zugriff auf die Dienste von viaVPN ermöglicht (die Modelle…). Dies erlaubt sehr flexible Anschlüsse für Hardware aller Art mittels der Ethernet Ports (mit LAN bezeichnet). Gleichzeitig bieten die Router serielle Schnittstellen, Digital-I/O and CAN Bus, je nach Modell. Alle derartigen Funktionen können über Netzwerk verwendet werden (das LAN des Kunden und auch viaVPN), um Geräte über diese Schnittstellen zu verbinden.

Oft gibt es Situationen in denen Ethernet gar nicht erforderlich ist, um Maschinen oder andere Geräte anzuschließen. Statt dessen wird eine einzelne serielle Schnittstelle oder ein CAN Bus verlangt. Für solche Installationen erscheint ein kompletter Router übertrieben.
Andererseits werden oft Baltos Systeme für angepasste Aufgaben zur Überwachnungs oder Steuerung verwendet. Diese dienen vielleicht als Gateway für Protokolle, oder direkte Überwachung und Steuerung in der Produktion. Es gibt viele andere Aufgaben. Alle sind definiert durch eine Anwendungssoftware, entwickelt und installiert eigenhändig durch den Kunden. Diese Software mag spezielle Methoden für Fernzugriff anbieten oder auch nicht, aber eine derartige Option kann sinnvoll sein.

Diese Geräteklassen können Vorteile aus den viaVPN Diensten ziehen, indem sie einen 'Software-Router' einbinden. Die NetCom und NetCAN bieten bereits eine Funktion für den Zugang zu viaVPN. Applikationssoftware des Kunden in Baltos Systemen implementiert dieses Feature natürlich nicht. Aber dafür bietet Vision Systems eine Option, um einen Daemon in existierende Firmware zu installieren.

NetCom Plus / NetCAN Plus

Die Device Server NetCom Plus und NetCAN Plus bieten bereits eine Option für den Zugriff auf die viaVPN Dienste. Diese Option wird aktiv durch den Upload eines speziellen Datenmoduls (Zertifikate) auf den Device Server, diese dienen der Authentifizierung.

Sobald die Option aktiviert wurde kann man die Funktion konfigurieren. Üblicherweise bleiben die Proxy Parameter leer, diese werden nur für besonders restriktive Firewalls benötigt.
Normalerweise arbeitet der Device Server als DHCP Server für die Verbindung über den VPN-Tunnel. Er arbeitet nicht als DHCP Server im LAN des Kunden.

Baltos iR ARM RISC PC

Die Systeme Baltos iR arbeiten mit einer durch den Kunden implementierten Software. Diese kombiniert das Betriebssystem mit der Ziel-Applikation, und wird entweder auf einer SD-Karte oder dem NAND Flash Speicher installiert. Solche Systeme werden mit einem kleinen Demonstrations-System im Flash ausgeliefert.
Weil die finale Software zu 100% durch den Kunden installiert wird, gibt es hier keine eingebaute Option zum Zugriff auf die viaVPN Dienste. Aber für diesen Zweck bietet VS Vision Systems GmbH ein add-on Software-Modul, den viaVPN Daemon.

Kunden können viele Wege zur Implementation ihrer eigenen Software nutzen. Eine Methode ist die angebotene DBIAN GNU/Linux Software, ausgeliefert als Teil des Starter Kit. Kunden verwenden diese als Startpunkt, und konfigurieren das System für ihre speziellen Anforderungen. Gepaart mit der Applikationssoftware ist dies dann die finale Software.
Ein zweiter Weg ist das System buildroot. Hier ergeben sich sehr kleine Software Installationen, die häufig sogar in den Flash Speicher passen. Diese "firmware" wird dann direkt vom Flash gestartet. Es gibt weitere Methoden wie z.B. Yocto für den gleichen Zweck.

Das Debian Starter Kit und buildroot werden hier speziell genannt, denn der erwähnte viaVPN Daemon ist getestet und verfügbar für diese beiden Wege der Implemenation einer Softare. Kunden bestellen den viaVPN daemon für ihr System und erhalten eine ZIP-Datei mit Software und Datenpaketen. Die Software wird dann entweder direkt in die Kompilation von buildroot eingebettet, oder in die bestehende Debian Software installiert. Besagte Software ist auf allen Systemen identisch, die Erstellung ist damit generisch. Allerdings sind die Datenpakete (Zertifikate) individuell für jedes System, um es auf den viaVPN Cloud Servern zu identifizieren.
Der entscheidende Punkt ist hier, dass die bestehende Applikations-Software des Kunden nicht verändert wird. Der viaVPN Daemon ist kein Modul und keine Bibliothek zur Integration in die Applikation, und es ist nicht notwendig bestimmte Funktionen darin aufzurufen. Statt dessen arbetet der Daemon auf der Ebene des Betriebssystems, im Hintergrund und parallel zur bestehende Applikation. Software Entwickler brauchen sich in keiner Weise um den viaVPN Daemon zu kümmern.

Wichtig: viaVPN bietet Technikern und Systemen einen Weg einer Netzwerkverbindung zu weit entfernten Orten. Alle Methoden zum Zugriff auf Funktionen, Überwachung und Steuerung des Betriebs müssen bereits in der Software des Kunden implementiert sein. Dazu gibt es viele Wege, vom Konsolenzugriff mittels SSH bis hin zu komplexen Web-Schnittstellen zur Verwendung in einem Browser. Doch üblicherweise bietet kundenspezifische Software bereits solche Optionen, für den Betrieb in einem lokalen Netzwerk.

Zusammenfassung und spezielle Bemerkungen

Viele Hardware (Sensoren, Aktoren, …) bieten bereits heute Optionen, um ihre Funktion über ein internes und daher geschütztes Netzwerk (basierend auf Ethernet) zu verwenden. Andere Geräte können ähnliche Funktionen zur Verfügung stellen, wenn sie mit einem Seriellen Device Server oder einem Ethernet zu CAN-Bus Gateway ausgestattet werden; es gibt vielerlei andere Arten von Gateways. Der Zugriff über das Netzwerk von jedem PC aus ist sehr praktisch, und es ist gleichermaßen nützlich dieses via Internet von überall zu tun. Letzteres ist aus Sicherheitsgründen kein sinnvoller Ansatz, wenn er ohne gründliche Vorsicht durchgeführt wird.
viaVPN erweitert den Zugriff über ein lokales Netzwerk über sichere VPN Tunnel. Daraus ergibt sich einfache Verwendung mit minimalem Einfluss auf bestehende Installationen. Und der Fernzugriff bietet Sicherheit ohne die verbunden Geräte in irgendeiner Weise anzupassen, dadurch entfällt der Bedarf für Neu-Zertifizierungen bereits installierter Firmware.