Ethernetové síťové připojení CCPU-34

[petrm]

CCPU-34 je osazena konektorem RJ-45 pro připojení ethernetové sítě 10/100 Mbit. Při komunikaci používá protokoly skupiny IP. Základním předpokladem pro komunikaci je tedy nastavení IP-adresy a souvisejících náležitostí. Toto nastavení centrála zjišťuje při svém startu ze souboru /etc/network/interfaces.


Rozhraní lo
Na začátku souboru /etc/network/interfaces je nastavení softwarového rozhraní lo. Rozhraní lo nemá žádný fyzický konektor, jedná se pouze o vnitřní rozhraní systému, ale dá se využívat pro standardní síťovou komunikaci mezi procesy uvnitř centrály, tzn. i pro různé testovací účely. Rozhraní lo má IP-adresy 127/8, tj. 127.x.y.z, nejčastěji se používá adresa 127.0.0.1 (ta má i své doménové jméno localhost). Nastavení rozhraní lo zajišťují tyto řádky v /etc/network/interfaces

auto lo
iface lo inet loopback

a není důvod je měnit.
Prověřit funkčnost rozhraní lo (a vlastně i síťového subsystému) lze jednoduše příkazem

Kód:

ping localhost

, na který centrála odpoví způsobem

PING localhost (127.0.0.1): 56 data bytes
64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.332 ms
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.171 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.147 ms
...

(výpis se zastaví stisknutím CTRL+C).


Rozhraní eth0 - pevná IP-adresa
Již na začátku zmíněné fyzické rozhraní ("konektor") ethernetu se nazývá eth0. Jeho nejspolehlivější nastavení je takové, že mu v /etc/network/interfaces přidělíme pevnou (statickou) IP-adresu. Továrním nastavením je

auto eth0
iface eth0 inet static
    address 192.168.222.29
    netmask 255.255.255.0
    gateway 192.168.222.252

. Toto nastavení znamená, že eth0 bude mít IP-adresu 192.168.222.29, IP-masku 255.255.255.0 a IP-adresa univerzální brány bude 192.168.222.252. Tyto konkrétní hodnoty je nutné nastavit vždy podle potřeb sítě, do které se centrála připojuje.


Rozhraní eth0 - přidělovaná IP-adresa
Některé sítě jsou spravovány tak, že všechny IP-náležitosti přiděluje jednotlivým stanicím zvláštní server, tzv. server DHCP. Centrála v tom případě nemá v /etc/network/interfaces zapsanou přímo svou IP-adresu, ale pouze informaci, že si ji má od DHCP vyžádat. To se zajistí zápisem

auto eth0
iface eth0 inet dhcp

. Adresu, masku i bránu pro eth0 tak po svém startu centrála získá od serveru DHCP.
Doporučujeme, aby byl server DHCP nastaven tak, že bude centrále přidělovat vždy stejnou IP-adresu, jinak budou nastávat komplikace při připojování FREDa k centrále, při využívání webových služeb centrály apod., protože nebude známá aktuální adresa centrály.


Další IP-adresy pro eth0
Rozhraní eth0 nemusí mít jen jednu IP-adresu, ale může jich mít více, podle potřeby. Nastavení dalších IP-adres je prakticky stejné, jako nastavení základní IP-adresy, jen se místo označení eth0 používají aliasy eth0:1, eth0:2 atd., jen ne alias eth0:99, protože ten používá program Starter_CCPU34 při aktivaci nouzové IP-adresy.
Zápis v souboru /etc/network/interfaces tedy může vypadat např. takto pro další statickou adresu

auto eth0:1
iface eth0:1 inet static
    address 10.0.0.29
    netmask 255.255.255.0

(nevyplňuje se IP-adresa brány), nebo takto pro další adresu z DHCP

auto eth0:2
iface eth0:2 inet dhcp

(kdyby ovšem už hlavní adresa byla přidělena z DHCP a bylo by v serveru nastaveno přidělování stále stejné adresy pro centrálu, je otázkou, jak by se server DHCP zachoval při žádosti o další adresu).
Nastavení statických a přidělovaných adres lze kombinovat, takže je možné např. hlavní adresu dostat od DHCP a kromě toho mít třeba pro servisní účely zadanou (jako druhou adresu) pevnou adresu z jiného privátního rozsahu, než jaký používá připojená síť.


Nastavení DNS
Aby mohla centrála pracovat i s doménovými jmény (např. elsaco.cz), ne jen s IPadresami, je nutné jí nastavit spojení k serveru DNS. Seznam serverů DNS je v souboru /etc/resolv.conf, zapisuje se ve formátu "nameserver IPadresaServeruDNS", každý server se uvede na samostatný řádek. Příklad:

nameserver 31.31.78.39
nameserver 5.9.49.12

.
Je vhodné zadávat servery DNS buď z podnikové sítě (IPadresy sdělí správce sítě) nebo od poskytovatele internetu.


Virtuální privátní sítě (VPN)
Virtuální privátní síť je způsob připojení vzdálené stanicei (klienta) k domovské počítačové síti. Hlavní předností VPN je, že vytváří pro běžnou komunikaci dojem, jako by vzdálený klient nebyl kdesi pryč, ale jako by byl připojen přímo do místní domovské sítě. Vzájemná komunikace v rámci VPN pak už vypadá stejně, jako by (vzdálená) stanice ležela jen na vedlejším stole.
Technické pozadí VPN spočívá v tom, že vzdálený klient naváže přes internet spojení se serverem VPN v domovské síti a oba stroje si pak mezi sebou vytvoří chráněný (šifrovaný) komunikační tunel. Tímto tunelem pak automaticky probíhá obousměrná komunikace mezi vzdálenou stanicí a stanicemi v domovské síti.
Ze způsobu navázání komunikačního tunelu je zřejmé, že server VPN v domovské stanici musí být z internetu přístupný prostřednictvím známé (pevné) veřejné IP-adresy.


Virtuální privátní síť PPTP
Jednou z implementací VPN je PPTP. Ke zprovoznění klientské části PPTP v centrále je potřeba znát:

$OznačeníVPN - to si vymyslíte, nějaké jednoslovné označení
$Server - veřejná IP-adresa nebo doménový název serveru VPN domovské sítě, sdělí správce serveru VPN
$Uživatel - přihlašovací jméno k serveru VPN, sdělí správce serveru VPN
$Heslo - přihlašovací heslo k serveru VPN, sdělí správce serveru VPN
$IPmístnísítě - privátní IP-adresa domovské sítě ve tvaru typu 192.168.222.0/24, sdělí správce serveru VPN

(znak "$" se nikde neuvádí, je v tomto návodu použit jen pro snadné odlišení nastavované položky od dalších parametrů), v $OznačeníVPN a $Uživateli raději nepoužívat písmena s háčky a čárkami ani mezery.
Automatické vytvoření VPN zajistí v souboru /etc/network/interfaces zápis

auto tunnel
iface tunnel inet ppp
    provider $OznačeníVPN

, tedy konkrétně např.

auto tunnel
iface tunnel inet ppp
    provider VPNelsaco

. Po vytvoření tunelu (a připojení k domovské síti) se v centrále objeví další síťové rozhraní ppp0 (případně ppp1 atd.) s odpovídající IP-adresou, viz dále.
Aby ale správný tunel VPN mohl vzniknout, je také nutné vytvořit soubor s parametry tunelu nazvaný /etc/ppp/peers/$OznaceniVPN, ve vzorovém příkladu tedy /etc/ppp/peers/VPNelsaco. Tento soubor obsahuje

pty "pptp $Server --nolaunchpppd"
name $Uživatel
remotename PPTP
require-mppe-128
file /etc/ppp/options.pptp
ipparam $OznaceniVPN
persist

, tedy konkrétně např.

pty "pptp 83.167.244.201 --nolaunchpppd"
name CCPU34
remotename PPTP
require-mppe-128
file /etc/ppp/options.pptp
ipparam VPNelsaco
persist

. Parametr persist zajistí opakované navázání VPN, kdyby došlo k přerušení spojení.
Máme už popsáno zadání parametrů tunelu, kde je uveden i $Uživatel, kterým se centrála bude přihlašovat. Pro navázání spojení je ale nutné ještě ověřit uživatele heslem. Odpovídající heslo se zapíše do suboru /etc/ppp/chap-secrets řádkem

$Uživatel PPTP $Heslo *

, tedy konkrétně např.

CCPU34 PPTP nejtajnejsiheslo *

. Obsahuje-li heslo nestandardní znaky, mělo by být uzavřeno v uvozovkách.
Je-li v /etc/ppp/peers/$OznaceniVPN uveden parametr persist (automatické obnovování VPN po přerušení spojení), musí se ještě zajistit automatické nastavení routování. K tomu je potřeba vytvořit spustitelný soubor (skript) v adresáři /etc/ppp/if-up.d. Na názvu nezáleží, tak vytvořte např. /etc/ppp/if-up.d/VPN a doplňte mu příznak spustitelnosti. Skript bude obsahovat

#!/bin/sh

if [ "$PPP_IPPARAM" = "$OznaceniVPN" ]; then
    /sbin/route add -net $IPmístnísítě gw $PPP_REMOTE dev $IFNAME
    fi

, tedy konkrétně např.

#!/bin/sh

if [ "$PPP_IPPARAM" = "VPNelsaco" ]; then
    /sbin/route add -net 192.168.222.0/24 gw $PPP_REMOTE dev $IFNAME
    fi

.
Hotovo. Uvedená nastavení by měla po startu centrály zajistit navázání funkční VPN PPTP s domovskou sítí a případně ji obnovit po přerušení spojení.
Pozn.:
Dbejte na to, aby každý z uvedených editovaných souborů končil prázdným řádkem, tzn. i poslední řádek textu musí být potvrzen klávesou ENTER.
Správce serveru VPN by měl zajistit, aby vzdálená centrála vždy dostala stejnou IP-adresu (ze stejného důvodu, jako při přidělování adresy od serveru DHCP).


Virtuální privátní síť OpenVPN - varianta se statickým klíčem
Další z implementací VPN je OpenVPN. Ta má několik možností nastavení, zde je popsána varianta se statickým klíčem a komunikací prostřednictvím UDP na portu 1194. Ke zprovoznění klientské části OpenVPN v centrále je potřeba znát, resp. sehnat:

$OznačeníVPN - to si vymyslíte, nějaké jednoslovné označení
$Server - veřejná IP-adresa nebo doménový název serveru VPN domovské sítě, sdělí správce serveru VPN
$Klíč - soubor statického klíče pro šifrování komunikace, poskytne správce serveru VPN
$IPklientaVPN - privátní IP-adresa klienta v síti VPN ve tvaru typu 10.9.8.2, sdělí správce serveru VPN
$IPmaskaVPN - síťová maska VPN ve tvaru typu 255.255.255.0, sdělí správce serveru VPN
$IPserveruVPN - privátní IP-adresa serveru v síti VPN ve tvaru typu 10.9.8.1, sdělí správce serveru VPN

(znak "$" se nikde neuvádí, je v tomto návodu použit jen pro snadné odlišení nastavované položky od dalších parametrů), v $OznačeníVPN raději nepoužívat písmena s háčky a čárkami ani mezery.
Automatické vytvoření VPN zajistí v souboru /etc/network/interfaces zápis

auto tuntap
iface tuntap inet manual
    openvpn $OznačeníVPN

, tedy konkrétně např.

auto tuntap
iface tuntap inet manual
    openvpn OVPNelsaco

. Po vytvoření tunelu (a připojení k domovské síti) se v centrále objeví další síťové rozhraní tuntap s odpovídající IP-adresou, viz dále.
Aby ale správný tunel VPN mohl vzniknout, je také nutné vytvořit soubor s parametry tunelu nazvaný /etc/openvpn/$OznaceniVPN.conf, ve vzorovém příkladu tedy /etc/openvpn/OVPNelsaco.conf. Tento soubor obsahuje na každém řádku jeden parametr

remote $Server
dev tuntap
dev-type tap
ifconfig $IPklientaVPN $IPmaskaVPN
secret /etc/openvpn/$Klíč
ping 60
ping-restart 0

, tedy konkrétně např.

remote 83.167.244.201
dev tuntap
dev-type tap
ifconfig 10.9.8.2 255.255.255.0
secret /etc/openvpn/static.key
ping 60
ping-restart 0

. Nakonec je potřeba do adresáře /etc/openvpn umístit soubor s $Klíčem, název souboru musí souhlasit s hodnotou parametru secret v souboru /etc/openvpn/$OznaceniVPN.conf. Měli byste se přesvědčit, že soubor s klíčem patří uživateli "root" a skupině "root" a že práva k souboru pro čtení i zápis má jen vlastník.
A to je vše. Uvedená nastavení by měla po startu centrály zajistit navázání funkční VPN OpenVPN s domovským serverem. Spojení by se mělo po případném přerušení automaticky obnovovat. Kromě komunikace se serverem bude probíhat veškerá ostatní komunikace (NTP, DNS, ...) původním způsobem, tzn. mimo VPN.
Upozornění: Vzorový příklad konfiguračního souboru v centrále má "neplatnou" koncovku "conf_", aby se nespouštěl.

Varianta se zařízením typu tun - s linuxovým serverem
Výše popsané nastavení používá virtuální síťové zařízení typu tap. Tento způsob lze použít pro windowsový i linuxový (je-li tak nastaven) server. Při spojení s linuxovým serverem lze používat i o něco výhodnější spojení prostřednictvím zařízení typu tun; rozdíl tap/tun je popsán níže u popisu parametru dev-type. Změna se v centrále zajistí úpravou řádků dev-type a ifconfig v souboru /etc/openvpn/$OznaceniVPN.conf, soubor potom obsahuje

remote $Server
dev tuntap
dev-type tun
ifconfig $IPklientaVPN $IPserveruVPN
secret /etc/openvpn/$Klíč
ping 60
ping-restart 0

, tedy konkrétně např.

remote 83.167.244.201
dev tuntap
dev-type tun
ifconfig 10.9.8.2 10.9.8.1
secret /etc/openvpn/static.key
ping 60
ping-restart 0

.

Pozn.:
Dbejte na to, aby každý z uvedených editovaných souborů končil prázdným řádkem, tzn. i poslední řádek textu musí být potvrzen klávesou ENTER.

Některé (další) parametry použitelné v souboru /etc/openvpn/$OznaceniVPN.conf:
remote vzdalena_stanice [port] [protokol]:
      vzdalena_stanice je adresa nebo doménové jméno protistrany (serveru/klienta)
      port je TCP/UDP port
      protokol je "tcp" nebo "udp"
proto protokol: protokol je udp, tcp-client, nebo tcp-server
connect-retry doba_sekund: jen pro tcp-client, po chybě počká nastavený počet vteřin (normáně 5) a pak zkusí znovu
connect-timeout doba_sekund: jen pro tcp-client, nastavení timeoutu pro komunikaci (normálně 10)
dev tunX | tapX | null: název síťového rozhraní, viz také "dev-type"
dev-type tun | tap: určuje typ rozhraní; tun zapouzdřuje IPv4 nebo IPv6 a vytváří spojení peer-to-peer, tap zapouzdřuje Ethernet 802.3; obě strany VPN musejí používat stejný typ rozhraní
ifconfig A B:
      A je IP-adresa lokálního konce VPN
      B je pro tun IP-adresa VPN protistrany, pro tap maska sítě VPN
route network/IP [netmask] [gateway] [metric]: po sestavení spojení přidá toto směrování do routovací tabulky
ping doba_sekund: pošle ping protistraně, pokud se určenou dobu nekomunikovalo; na ping z OpenVPN se nevrací odpověď, narozdíl od normálního pingu
ping-restart doba_sekund: nepřišla-li žádná komunikace od protistrany po určenou dobu, OpenVPN se restartne, hodnota 0 tuto funkci vypne; vhodné např. při použití dynamických doménových jmen

Stručné pokyny pro linuxový server
OpenVPN se nainstaluje z repozitáře distribuce, nebo z webu https://openvpn.net/index.php/open-source/downloads.html.
Nastavení linuxového serveru OpenVPN je prakticky stejné, jako u klienta, jen soubor /etc/openvpn/$OznaceniVPN.conf obsahuje v parametru remote adresu klienta, případně může remote chybět. Parametr dev-type určuje opět typ zařízení/komunikace, může být tun, nebo tap.
Klíč (pojmenovaný např. static.key) se vygeneruje po přepnutí do adresáře /etc/openvpn/ příkazem openvpn --genkey --secret static.key, tento klíč je nutné zkopírovat i do klienta.

Stručné pokyny pro windowsový server
OpenVPN se nainstaluje z webu https://openvpn.net/index.php/open-source/downloads.html.
Nastavení windowsového serveru OpenVPN je velmi podobné klientu se zařízením tap. Vyplňuje se ale jenom konfigurační soubor C:\Program Files\openvpn\config\$OznaceniVPN.ovpn (ekvivalent linuxového souboru $OznaceniVPN.conf), který neobsahuje parametr remote, parametr dev-type je tap a cesta k souboru s klíčem v parametru secret se píše do uvozovek a se zdvojenými zpětnými lomítky, např. "C:\\Program Files\\OpenVPN\\config\\key.txt".
Klíč se vytvoří programem Generate a static OpenVPN key z nabídky START >> Všechny programy >> OpenVPN >> Utilities a obvykle se nazývá key.txt, je nutné ho zkopírovat i do klienta.
OpenVPN se spustí programem OpenVPN Gui z nabídky START >> Všechny programy >> OpenVPN, teprve tím se "připojí kabel" k připravenému síťovému zařízení založenému při instalaci OpenVPN.


Virtuální privátní síť N2N
N2N je jednoduchá a snadno konfigurovatelná privátní síť, je to obdoba kdysi oblíbené (hlavně hráči počítačových her) komerční sítě Hamachi.
Skupina stanic, které mají být zapojeny do privátní sítě, se připojí k veřejnému serveru na určený port, každá stanice se přihlásí názvem sítě a heslem a zvolí si svou IPadresu a IPmasku v síti N2N. Všechny stanice použijí stejný název sítě i stejné heslo, ale každá svou unikátní IPadresu. Server IPadresy nepřiděluje ani nekontroluje, je starostí stanic, aby použily vhodné IPadresy a IPmasky. Stanice takto vytvořené skupiny pak mezi sebou mohou volně komunikovat, přestože ve skutečnosti mohou být za NATy.
Na serveru lze vytvořit různé takto definované skupiny, ty se navzájem neovlivňují.
Protože server nijak neověřuje jednotlivé stanice (název sítě i heslo jsou sdílené a určují jen příslušnost ke skupině), považujte zapojení do sítě N2N za připojení do veřejného prostoru, hlavně s ohledem na zabezpečení stanic.
Centrály CCPU-3X mají, počínaje firmwarem 13.12.2019, v adresáři "root" skripty pro snadné zapojení a odpojení do/z připravené sítě N2N Elsaca.
Pro připojení svého PC použijte v případě Linuxu klienta N2N ze své distribuce, v případě Windows klienta "N2N gui". Parametry připojení zjistíte ze skriptů při připojování centrál.