Vítej, Host. Prosím přihlaš se nebo se zaregistruj.
17.01.2019, 07:12:05

Domů Nápověda Vyhledávání Přihlásit Registrovat
 
Fórum k produktům firmy ELSACO Kolín  

+  PROMOS fórum
|-+  Poslední příspěvky
Stran: [1] 2 3 ... 10

 1 
 kdy: 07.04.2017, 11:31:08 
Založil petrm - Poslední příspěvek od petrm
Jako virtuální privátní síť doporučuji použít OpenVPN. Tím získáte přístup do centrál ze serveru a případně i z dalších stanic ve firmě. Ohledně webového přístupu z internetu do centrál se nabízí řešení takové, že se uživatelé z internetu budou připojovat k serveru (je dostupný z internetu) na určené porty a tato spojení budou přesměrována a přenesena pomocí VPN do centrál, webové stránky pak budou putovat stejnou cestou zpět k uživatelům.
Nastavení tohoto systému už není tak jednoduché, jako v ukázce základního použití OpenVPN v návodu k sitím v CCPU-3X. Celý postup je uveden dále.

Příprava firemního vstupního routeru z internetu:
Pro OpenVPN bude využit protokol UDP na portu 1194, musí být tedy port UDP 1194 při přístupu z internetu přesměrován do serveru s OpenVPN.
Klientské CCPU-3X nebudou přímo veřejně přístupné z internetu, pro webový přístup do nich využijeme veřejnou dosažitelnost serveru a vytvořená spojení OpenVPN. Na vstupním routeru proto přesměrujeme nějaký rozsah portů TCP (třeba porty 8002-8254) do serveru, který dále přesměruje jednotlivá spojení k odpovídajícím klientům CCPU-3X prostřednictvím vytvořených spojení OpenVPN.
Klientské CCPU-3X budou plně dosažitelné ze serveru. Mají-li být dosažitelné i z jednotlivých firemních stanic, bude asi nejlepším řešením odchycení požadavků na ně routerem (defaultní bránou) a přesměrováním na server.
Server bude sloužit jako normální brána mezi firemní sítí a OpenVPN, protože OpenVPN bude (musí) pracovat s jiným adresovým rozsahem (např. 192.168.77.x), než jaký je ve firemní síti.

Konfigurace OpenVPN v serveru:
Do serveru nainstalujeme OpenVPN.
Povolení síťového rozhraní "tuntap" pro OpenVPN:
Do souboru /etc/network/interfaces je potřeba přidat (podobně, jako je to v CCPU-3X):
Kód:
auto tuntap
iface tuntap inet manual
   openvpn OVPNelsaco
Vytvoříme konfigurační soubor serverové strany OpenVPN - soubor /etc/openvpn/OVPNelsaco.conf, který bude obsahovat:
Kód:
# Server OpenVPN.
mode server
# Server pto TLS; už nelze použít jednoduchý statický klíč, ale TLS.
tls-server
dev tuntap
dev-type tun
# Více klientů při spojení typu "tun".
topology subnet
proto udp
port 1194
# Adresace OpenVPN nesmí kolidovat s adresací skutečné sítě.
ifconfig 192.168.77.1 255.255.255.0
# Rozsah adres přidělovaných klientům
# klienti nemohou mít adresy statické, ale musí je přidělovat server OpenVPN
# viz ještě individuální konfigurace klientů.
ifconfig-pool 192.168.77.2 192.168.77.254
# Pro "dh, ca, cert a key" viz klíče a certifikáty.
dh /etc/openvpn/dh2048.pem
ca /etc/openvpn/ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
# Adresář, kde se nacházejí individuální konfigurace klientů, viz podrobnosti.
client-config-dir /etc/openvpn/klienti
#verb 4
#log /var/log/openvpn.log
status /var/log/openvpn-status.log

Certifikáty a klíče (platí pro server i klienta):
Buď součástí OpenVPN, nebo jako doporučený balík, jsou skripty "easy-rsa". Ty je potřeba zkopírovat (celý adresář) do /etc/openvpn/, použijí se pro vytvoření klíčů a certifikátů. Z adresáře /etc/openvpn/easy-rsa se spouštějí všechny dále popsané akce, spouštějte je přímo ze shellu, ne z MC či podobného programu (který pro každý skript vytváří novou kopii shellu). Pro generování klíčů musíte být přihlášení jako root. Pokud chcete pouze generovat klíče pro (dalšího) klienta, tak přejděte na sekci Certifikáty a klíče pro klienty (CCPU-3X).
Nejdřív se upraví soubor vars, hlavně proměnné:
Kód:
CA_EXPIRE a KEY_EXPIRE (určují dobu platnosti certifikační autority a klíčů ve dnech, hodnoty 36500 představují 100 let)
KEY_COUNTRY a KEY_PROVINCE (dát asi "CZ")
KEY_CITY (město)
KEY_ORG (organizace)
KEY_EMAIL (něco cokoliv tam musí být)
KEY_OU (organizační jednotka, oddělení?)
.
Potom se vars příkazem
Kód:
. ./vars
spustí.
Certifikační autorita:
Spustí se příkazy
Kód:
./clean-all
./build-ca
pro uklizení a pro vytvoření certifikační autority, při vytváření autority se jen potvrdí nastavené hodnoty (přečtené ze souboru vars). V adresáři keys se vytvářejí soubory, ca.crt se zkopíruje do /etc/openvpn (položka "ca" v konfiguračním souboru).
Certifikát a klíče pro server:
Pak se vytvoří certifikát serveru příkazem
Kód:
./build-key-server nazev_serveru
,
kde nazev_serveru je nějaké označení serveru, klidně může být jen "server" (bez uvozovek), při vytváření se zase jen potvrdí nastavené hodnoty a na konci se dvakrát potvrdí "yes" pro uložení. V keys/ se vytvoří mj. soubory (např.) server.crt a server.key, které je nutno zkopírovat do /etc/openvpn (položky "cert" a "key" v konfiguračním souboru).
Pak se ještě příkazem
Kód:
./build-dh
vytvoří soubor pro výměnu klíčů, vznikne zas v keys/ a nazývá se " dh?..?.pem, opět se zkopíruje do /etc/openvpn (položka "dh" v konfiguračním souboru).
Certifikáty a klíče pro klienty (CCPU-3X):
Certifikát a klíče pro klienta se vygenerují také v serveru příkazem typu
Kód:
./build-key klientA
,
kde "klientA" je nějaký vhodný jednoslovný název klienta, opět se jen potvrdí nastavené hodnoty a na konci se dvakrát potvrdí "yes" pro uložení. V keys/ se vytvoří soubory klientA.crt a klientA.key, které se zkopírují do /etc/openvpn V KLIENTSKÉ STANICI (položky "cert" a "key" v konfiguračním souboru klienta).
Název klienta (klientA) pak souhlasí s položkou "Subject - CN" v klientA.crt a bude identifikátorem klienta při individuální části konfigurace.
Do /etc/openvpn v klientech se musí zkopírovat i certifikační autorita ca.crt ze serveru.
Při dodatečném vytváření certifikátů klienta (někdy za dlouho) bude asi nutné opět nejdřív spustit ". ./vars", aby se nastavily proměnné. Generujte potom jen záležitosti klienta, negenerujte certifikační autoritu, jinak se nespojí buď staří nebo noví klienti (podle toho, zda byste novou "ca" zkopírovali do nastavení serveru, nebo ne)!

Individuální část konfigurace klientů ze serveru:
Při inicializaci spojení OpenVPN posílá server klientům různé informace, např. IP-adresu, adresy DNS apod. Tyto informace mohou být pro všechny klienty shodné, nebo se mohou lišit. Pro klienty mohou být v adresářii určeném položkou "client-config-dir" (v konfiguraci serveru) soubory s inidividuálními hodnotami. Soubor se musí jmenovat tak, jak se klient hlásí serveru, tzn. jménem v "Subject - CN" ze svého *.crt. Toto jméno souhlasí s označením zadaným při vytváření certifikátu klienta (např. klientA z předchozího popisu).
Pro tento příklad tedy v serveru v adresáři /etc/openvpn/klienti bude soubor "klientA" a v něm např.:
Kód:
ifconfig-push 192.168.77.222 192.168.77.1
# Má-li mít klient možnost se připojovat k ostatním klientům, odkomentovat následující:
# push "route 192.168.77.0 255.255.255.0 192.168.77.1"
.
KlientA pak dostane od serveru vždy IP-adresu 192.168.77.222.
Normálně klienti nemají nastaveno routovací pravidlo, aby se dostali na ostatní klienty. Odkomentuje-li se řádek s "push route ...", pak se potřebné pravidlo klientovi pošle. Nebude-li toto pravidlo posláno serverem, může být nastaveno v klientské stanici jiným způsobem.

Konfigurace OpenVPN v klientech:
Povolení síťového rozhraní "tuntap" pro OpenVPN:
V souboru /etc/network/interfaces je potřeba odkomentovat řádky:
Kód:
auto tuntap
iface tuntap inet manual
   openvpn OVPNelsaco
Pak vytvořte konfigurační soubor /etc/openvpn/OVPNelsaco.conf, který bude obsahovat:
Kód:
# Klient OpenVPN.
client
# Veřejná IP-adresa serveru.
remote IP.AD.RE.SA
# "ifconfig" chybí, protože ho klient dostane od serveru
dev tuntap
dev-type tun
proto udp
port 1194
# Certifikační autorita, zkopírována ze serveru.
ca /etc/openvpn/ca.crt
# Certifikát (cert) a klíč (key) klienta, vytvořeny v serveru příkazem "./build-key klientA", viz výše.
cert /etc/openvpn/klientA.crt    
key /etc/openvpn/klientA.key    
ping 60
ping-restart 0
nobind
ns-cert-type server
.

Nastavení linuxového serveru:
Aby server umožnil routování obou sítí (firemní a VPN) a přesměrování webových provozů, je potřeba ještě nastavit několik záležitostí.
Povolení forwardingu (předávání dat mezi síťovými rozhraními):
V serveru je potřeba povolit forwarding paketů, aby vůbec nějaké pakety procházely skrz, odkomentováním nebo přidáním řádku
Kód:
net.ipv4.ip_forward=1
v /etc/sysctl.conf.
Nastavení paketového filtru:
Dále je potřeba nastavit paketový filtr, nejlépe spustitelným (všemi) skriptem přidaným do /etc/network/if-pre-up.d, nazvaným třeba firewall.
Obsah souboru firewall:
Kód:
#! /bin/sh
# Smazani pravidel filtru a natu
iptables -F
iptables -t nat -F

# Presmerovani "webovych" portu k jednotlivym CCPU-34
# Router musi presmerovavat pozadavky na porty napr. 8002-8255 do serveru
# a ten je presmeruja dal na jednotlive CCPU34 podle adresy "xxx".
# vzor: iptables -t nat -A PREROUTING -p tcp --dport 8xxx -j DNAT --to-destination 192.168.77.xxx:80
iptables -t nat -A PREROUTING -p tcp --dport 8222 -j DNAT --to-destination 192.168.77.222:80

# Zapnuti maskarady pro OpenVPN, aby nebylo nutne doplnovat
# routovaci pravidla v klientech.
iptables -t nat -A POSTROUTING -d 192.168.77.0/24 -j MASQUERADE
.
Máte-li už nějak iptables nastaveny, samozřejmě jen vhodně doplňte jejich stávající konfiguraci!

A to je vše, mělo by stačit restartovat OpenVPN nebo síťový systém.


 2 
 kdy: 07.04.2017, 11:07:13 
Založil petrm - Poslední příspěvek od petrm
Dotaz zákazníka

Máme linuxový server, do kterého můžeme přesměrovat spojení z veřejné internetové adresy. Dále máme několik různě umístěných centrál CCPU-3X, které sice mohou na internet, ale nemají veřejné IP-adresy. Chtěli bychom je připojit prostřednictvím VPN k serveru, abychom s nimi mohli vzdáleně pracovat. Dále bychom chtěli nějak zajistit možnost webového přístupu do centrál z internetu. Jak na to?

 3 
 kdy: 30.01.2017, 12:20:58 
Založil petrm - Poslední příspěvek od petrm
Ano, poslední verze FREDovského modulu SMS-ex umnožňuje přepnutí do režimu, ve kterém neobsluhuje přímo připojený modem k centrále, ale bufferem pouze odešle obsah sestavené SMS společně s telefonním číslem. Toho lze využít při spolupráci s bránou SMS (jen pro odesílání SMS, zatím).

Ale začneme "odzadu", tzn. od serveru. Jako server (sw instalovaný do linuxového serveru) doporučuji "smstools". Ten dokáže pracovat s modemy prostřednictvím sériového rozhraní ať už přímo hardwarového nebo emulovaného přes USB. Je tedy nutné k serveru (hw) připojit nějaký modem GSM se sériovou komunikací. V konfiguraci smstools (/etc/smsd.conf) při troše štěstí nebude nutné měnit mnoho a postačí nastavit správný komunikační port a rychlost. V případě použití USB doporučuji ještě volbu "keep_open = no", která by mohla zajistit, že se nezmění zařízení (/dev/ttyUSBx) při případném odpadnutí a opětovném přihlášení modemu do systému; kdyby to nestačilo, asi by se muselo doplnit nastavení udev a využít nějaký odkaz na aktuální zařízení modemu.
Smstools se pokusí odeslat jako SMS všechny zprávy, které kdokoliv uloží do zvoleného adresáře (/var/spool/sms/outgoing). Takže potřebujete, aby se připravené SMS z jednotlivých CCPU-34 dostaly do tohoto adresáře. K tomu použijte program SberacSMS (ke stažení na našem webu, existuje verze pro ARM i pro i386_64), nechte ho spustit při startu serveru, spouštějte ho se dvěma parametry: portem (port UDP dle vlastního uvážení) a cestou k adresáři pro ukládání SMS (již zmíněný /var/spool/sms/outgoing). SberacSMS obsadí určený port a při příchodu jakékoliv zprávy na tento port ji uloží do nového souboru v určeném adresáři.

Tím je vyřízena serverové část a zbývá už jen FREDovský projekt: V modulu SMS-ex zaškrtněte volbu "Použít bránu SMS" a na vstup COMBUF připojte modul UDPbuffer, ve kterém vyplňte cílovou IP-adresu (do serveru) a cílový port (k programu SberacSMS).

Jen připomínám, že telefonní čísla v modulu SMS-ex je pro bránu nutno uvádět v mezinárodním tvaru bez úvodního "+" (např. 420800123456).
A samozřejmě doporučuji přečíst si dokumentaci smstools a návod k modulu SMS-ex.

 4 
 kdy: 30.01.2017, 11:29:47 
Založil petrm - Poslední příspěvek od petrm
Dotaz zákazníka:

Máme několik centrál CCPU-34, které mají spojení s linuxovým serverem. Lze tento server využít jako bránu pro odesílání SMS z centrál?

 5 
 kdy: 29.01.2016, 14:17:00 
Založil petrm - Poslední příspěvek od petrm
V centrále je nainstalován server ftp, ten je určen pro přenos souborů mezi centrálou a jiným počítačem. Předpokládané využití je např. pro přenosy souborů se vzorky k dalšímu zpracování a archivaci.

Nastavení serveru
Server má otevřen standardní port 21 pro navázání řídicího spojení. Datové spojení může probíhat v aktivním (ze standardního portu 20) i pasivním režimu.
Přístup ftp je určen jen pro normální uživatele, pro roota je připojení tímto způsobem zakázáno. Řídicí i datová spojení jsou šifrována (ftps), nechráněné spojení není povoleno. Také není umožněn anonymní přístup.
Server používá certifikát /etc/ssl/certs/vsftpd.pem. Ten je možné přegenerovat buď příkazem uvedeným v /etc/rc.local, nebo smazáním certifikátu a restartnutím centrály.

V centrále je povolen přístup ftp pro uživatele "fred", heslo "fred". Heslo by si měl uživatel změnit. Heslo musí změnit root příkazem
Citace
passwd fred
, po kterém dvakrát zadá nové heslo pro uživatele "fred".
Po přihlášení k serveru ftp je uživatel umístěn do adresáře ~/ftp (např. /home/fred/ftp), přenášené soubory se nacházejí jen tam a v podadresářích.


Upozornění: Z důvodu bezpečnosti (uživatelé si nemění heslo a nechávají tak otevřený přístup do centrály) se server ftp nespouští. Vše je nainstalováno a připraveno, ale server se při startu centrály nespouští. Spouštění zajistí přejmenování souboru /etc/rc2.d/K??vsftpd na /etc/rc2.d/S??vsftpd.

Poznámka pro uživatele WinSCP v MS-Windows: Nastavený protokol SFTP v připojovacím okně slouží pro spojení pomocí SSH a do CCPU-3X se jím může připojit root. Pro spojení se zde popisovaným serverem FTP slouží protokol FTP s nastavením "TLS/SSL Explicitní šifrování" (vybírá se v okénku vedle volby protokolu).

 6 
 kdy: 15.01.2016, 12:24:54 
Založil libor - Poslední příspěvek od libor
Pro účely změny hodnoty je přímo na CCPU-34 možnost nastavit/změnit až 8 hodnot za pomoci kláves a 3místného displeje (lze tedy zadat hodnoty -99 až 999). V příloze je projekt, kde je ukázán princip. První měněnou hodnotu se přepíná režim, pokud je nastavena 0, tak se používá hodnota z projektu, pro hodnoty 1 až se používají hodnoty nastavitelné na CCPU-34. Mód je signalizován na LED (řada B) a používaná hodnota je zobrazena displeji při normální běhu.


(připojené soubory vidí pouze registrovaní uživatelé)

 7 
 kdy: 15.01.2016, 12:18:54 
Založil libor - Poslední příspěvek od libor
Chtěl bych si do programu na CCPU-34 vložit testovací mód, který bych nějakým způsobem aktivoval, mohl měnit vstupní hodnoty, kterými bych testoval například okrajové podmínky apod. Lze to nějak?


Dotaz zaslaný prostřednictvím sociálních sítí (viz výzva).

 8 
 kdy: 29.10.2015, 08:58:28 
Založil vholcman - Poslední příspěvek od libor
V zobrazení celého čísla bohužel mezery dělat nelze.

To, co chcete, by bylo řešitelné pouze na nových platformách XCOM a CCPU-34, kde lze vytvořit (a můžete si ho vytvořit i Vy) speciální modul, který bude pracovat tak, jak požadujete.

 9 
 kdy: 29.10.2015, 08:44:51 
Založil vholcman - Poslední příspěvek od vholcman
Ještě poslední dotaz. Asi by nebylo možné ten binární výstup zapsat na displej s mezerami?
např. 0 0 1 0
Prostě aby to nebylo tak na sebe naskládané a přehlednější.
Díky
H.

 10 
 kdy: 29.10.2015, 08:28:11 
Založil vholcman - Poslední příspěvek od vholcman
Dobrý den
Děkuji už to mám taky.
H.

Stran: [1] 2 3 ... 10


Poháněno MySQL Poháněno PHP Powered by SMF 1.1.21 | SMF © 2011, Simple Machines Validní XHTML 1.0! Validní CSS!