Recenze: J. Blažek vyzkoušel průmyslový firewall Ethernet bridge NAT router - Microwall VPN od společnosti W&T

Microwall VPN - průmyslový Firewall Ethernet bridge NAT router

Průmyslových firewallů existuje na trhu celá řada. My se společně s Jaroslavem Blažkem podíváme na Microwall VPN od společnosti Wiesemann & Theis, tedy W&T.

Microwall VPN je síťový modul pro oddělení zařízení v různých sítích a pro omezení Ethernet komunikace k různým zařízením. Umožní bezpečné připojení strojů do podnikové sítě Ethernet, připojení starších počítačů a dalších zařízení v síti. Můžeme nastavit Ethernet komunikaci k PLC systémům, např. povolení portu pouze pro OPC UA komunikaci, pro čtení dat do výrobního systému apod. Nastavení je proto velmi široké a univerzální a závisí na konkrétní aplikaci a situaci na síti.

Všechny typy modulů Firewall, Bridge, NAT od W&T včetně manuálů ke každému z nich najdete na e-shopu.

Není co splést, 2x RJ45 konektory a basta. Jednoduchá konstrukce na DIN lištu, malá tak, že menší už to snad ani nejde vyrobit. Jednička port WAN a dvojka LAN. Napájení 24 VDC z boční strany.

Z technických parametrů, kromě gigabitového Ethernetu, zaujme ještě PoE napájení 37-57 VDC. Na to ovšem musí být switch s patřičným vyšším napájením. PoE je možné jen u portu 1, tedy žlutého portu.

Připojení do Ethernetové sítě, napájení Microwallu 24 VDC z boku přes svorkovnici:

Protože tento přepínač je napájen ze 48 VDC a umí PoE napájení na čtyřech portech, tak stačí jen propojit s Microwallem a na přepínači ihned svítí indikace připojeného PoE zařízení a Microwall jede. To je fajn, protože, pokud instalujete Microwall někde do stroje, nemusíte shánět jeho napájení.

Jako u předešlých modulů od W&T se veškeré nastavení děje přes vestavěný webový server. Buď respektujeme tovární nastavení IP adresy, nebo si přes WuTility nastavíme vlastní. Tato utilita funguje úplně perfektně, jak jsme již zmiňovali v předchozím článku.

Nastavíme si vlastní IP, kdo by si takovou krkolomnost pamatoval. 😃

Překontrolujeme, zda je Microwall na síti vidět. Jedná se o port WAN, tedy žlutý, i když výrobce jej nazývá Network 1.

A tohle budeme od naší krabičky potřebovat. Jednoduché spojení dvou nezávislých sítí a přístup z PC v jedné síti do PLC v druhé síti.

Vše je chráněno heslem, tedy to si musíme nejprve nastavit.

Jdeme do hlavního menu Microwallu, pak: základní nastavení, firewall, VPN, dále systémové nastavení, vlastnosti a asistent.
Každý port máme nastaven na jinou síť.

Povolení různých služeb, například přístup na webový server i z portu LAN, tedy ostrovní = „island" sítě.

Podle operačního módu se nastaví vlastní pravidla komunikace, a hlavně statický překladač adres, tedy Static NAT a IP adresu, na kterou se budeme připojovat z WAN sítě, a také maskování. Tohle je důležité nastavení a zde v Microwallu se to dělá trošku jinak než u jiných podobných zařízení.

Klikněte na obrázek pro zvětšení

Inventář IP adres je bezva věc, kde si definujeme zařízení v obou sítích. Ve WAN, tedy vyšší, internetové, nadefinujeme jeden počítač a jeden mobil. V LAN, tedy třeba výrobní, zase jedno PLC. I když máme tyhle IP adresy 2x stejné, jednu jsme použili v nastavení NAT a druhou použijeme v definicích firewallu.

Každé pravidlo se dá označit štítkem, a pak jen zapínat nebo vypínat celé skupiny podle tohoto štítku. Užitečné, když máte definováno hodně zařízení, jejichž zobrazení se dá podle těchto štítků filtrovat.

Tady je to hlavní, nastavení firewallu, tedy kdo, odkud a kam může. Máme nastaven firewall pro dvě zařízení. Je důležité si nastavit jak směr tam, tak zpět i kvůli příkazu ping, aby se vrátil. Zde se dají pravidla filtrovat a také jednotlivě zapínat či vypínat.

V sekci „údržba" se dá použít služba „najdi zařízení", která rozbliká LED na Microwallu, dále aktualizovat firmware a hlavně uložit (a obnovit) celé nastavení do souboru.
Je to bezva pro technickou podporu W&T u výrobce v Německu. My jsme ji totiž potřebovali využít pro upřesnění nastavení a během necelého jednoho dne jsme vše vykomunikovali a firewall začal fungovat. Neměli jsme správně nastaven překladač adres, a to nás zdrželo.

Pokud je vše v pořádku, vidíme na naší síti WAN port xx.0.19 - žlutý od Microwallu, x.0.51 je PC, x.0.102 je mobil a x.0.201 je IP, na kterou se budeme připojovat. Microwall zařídí, aby spojení z této IP adresy až na PLC do jiné sítě bylo průchodné.

Vyzkoušíme si i ping na tuto adresu. Vše je v pořádku.

Z webového prohlížeče nás Microwall přesměruje přímo na webový server PLC Simatic S7-1200, jak prosté. 😃

Microwall je jediné místo, kde jsou dvě různé sítě propojeny.

Vyzkoušíme si ping i z mobilu. Na to existuje tato hezká appka.

Z prohlížeče v mobilu se zase dostaneme do webového serveru PLC a vidíme online proměnné.

Podívejte se na videoukázku, jak to vypadá a funguje. 

Závěr:
Široké možnosti nastavení a funkcí. Vždy záleží na konkrétní aplikaci, pro kterou se Microwall použije. Jakmile přijdete na logiku nastavení, tak si můžete přidávat a ubírat účastníky a zařízení podle libosti. Na webu výrobce W&T najdete různé utility a vzorové programy pro další software. Je tam toho opravdu hodně.

Jaroslav Blažek
www.blaja.cz

Doplňující odkazy k článku:

  • Firewall router W&T a kompletní informace jsou u produktu na e-shopu. Manuál najdete v sekci "ke stažení".
  • Utility a příklady programování na webu W&T jsou zde.
  • Technickou podporu a prodej výrobků W&T zajišťuje společnost FOXON od roku 2023.

Poptávka / Dotaz

Zvýrazněné položky jsou povinné.

Doporučené produkty1

Další