rut500 guía de configuración rápida

RUT500 – GUIA DE CONFIGURACION RAPIDA

RUT500 – GUIA DE CONFIGURACION RAPIDA

Enero 2015

José R. Salvador

RUT500 – GUIA DE CONFIGURACION RAPIDA 2

Indice

• Prestaciones

• Configuración• Acceso al servidor web

• Datos conexión 3G

• Aceso remoto HTTP y HTTPS

• DNS dinámico

• Port forwarding (NAT)

• OpenVPN

• Troubleshooting


Prestaciones

• RUT500 3G HSPA+ hata 21 Mbps downlink/5.76 Mbps uplink

• RUT550 4G LTE hasta 100 Mbps uplink/50 Mbps uplink

• AP WiFi 802.11b/g/n• 2 antenas GSM externas (acodadas o magnéticas) (una con

coste adicional)• 1 antena WiFi acodada• 3 puertos LAN 10/100BaseTX

• 1 puerto WAN 10/100BaseTX

• Funcionamiento como router 3G o como backup 3G sobre conexión WAN (p.e. router ADSL o cablemodem)

• Cliente dyndns integrado (dyndns, noip, no-ip, …)• Soporte VPN (IPSec y OpenVPN servidor y cliente)


Prestaciones (II)

• Posibilidad de montaje en carril DIN

• Posibilidad de proveer alimentación PoE (no estándar) para cámaras IP de Teltonika en alguno de los puertos LAN

• Ping reboot y SMS reboot• SMS status con notificación de IP pública• Servidor web para configuración• Por forwarding y firewall integrados


Acceso al servidor web

• Conectar el PC a cualquiera de los puertos LAN1-LAN3 (NO al puerto WAN) y configurar la conexión con DHCP

• Cuando tengamos IP asignada arrancar el navegador y abrir la página 192.168.1.1

• Username: admin Password: admin01


Paso 1 – Cambio de password

• Podemos cambiar el password por defecto


Paso 2 – Configuración 3G• APN: configurar el APN según el operador móvil• PIN number: se recomienda quitar el PIN a la SIM para evitar 3

intentos y bloqueo de la SIM (desbloqueo por PUK)

• Dialing number: dejar *99#

• 3G authentificacion method: consultar con el operador móvil

• Username y password: consultar con el operador móvil

• Service mode: podemos forzar 3G, 2G, preferiblemente 3G o 2G o dejarlo en auto


Paso 2 – Listado APN

Información NO vinculante – Se recomienda siempre consultar con el operador móvil


Paso 3 – Configuración LAN

• Protocol: dejar static address salvo que usemos el router como cliente DHCP de un router ADSL/cable si usamos el equipo como backup 3G de una conexión fija

• IPv4 address: es la dirección IP de gestión del router (es la que debe configurarse como gateway de cualquier máquina conectada a la LAN del router)

• Use customs DNS servers: dejar en blanco para usar los que provea el operador móvil de forma automática (recomendado)

• DHCP server: deshabilitar si queremos que todas las máquinas tengan IP fija y queremos evitar que alguien se conecte y pueda obtener conexión a través del router


Paso 3 – Configuración LAN


Paso 4 – Configuración WiFi

• Por defecto el AP WiFi está deshabilitado

• Si lo habilitamos recordemos montar la antena WiFi

• Seleccionar el canal de frecuencia, el modo b/g/n y el código de país

• ESSID: configurar el identificador del AP• Encryption: configurar el modo de encriptación wireless


Paso 4 – Configuración WiFi

• Tras pinchar en Finish el router aplicará los cambios y ya deberíamos ser capaces de salir a Internet


Comprobación de la conexión

• Status – Network information• Sim card state: debe estar OK

si no hay problemas de PIN• Signal strength: nivel de señal

GSM. Puede compararse con el que mide cualquier móvil (con el mismo operador)

• Connection type: tipo de conexión 2G GPRS o 3G (WCDMA)

• Bytes tx y rx: deben ir incrementándose

• IPv4 address: es la dirección IP pública del router


Habilitar el acceso remoto al router

• System - Administration• Marcar Remote HTTP Access para habilitar el acceso remoto al servidor

web del router a través de la dirección pública (Remote HTTPS para acceso remoto encriptado)

• Si queremos acceder remotamente a una máquina detrás del router (port forwarding) a través de HTTP en el puerto 80 entonces deberemos cambiar el puerto (pe: 8080) para que no coincidan. Para acceder a la configuración del router lo haremos de la forma• http://192.168.1.1:8080 o http://<IP pública o dns dinamico>:8080


DNS dinámico - Introducción

• Si no contratamos una SIM con IP fija, el operador móvil nos va cambiando la dirección IP pública del router con cada conexión o incluso cada cierto tiempo

• Por tanto, si queremos conectarnos al router de forma remota debemos usar otro mecanismo. Este mecanismo se denomina DNS dinámico y permite asociar un nombre de dominio a la IP dinámica de nuestro router

• El servicio se basa en un software cliente integrado en el router que cada cierto tiempo envía un paquete de información a un servidor. El servidor recibe el paquete con un identificador de dominio y le asocia la IP de la que viene el paquete localizando al router. Esta información se actualiza en los servidores de dominio pudiendo acceder remotamente


DNS dinámico – Configuración en el servidor• Debemos crear una cuenta gratis o de pago en alguno de los servidores

de DNS dinámicos soportados por el router (dyndns.org, noip.com, no-ip.org, …)

• Seleccionaremos un usuario y pasword para la cuenta y un nombre de dominio cuya terminación dependerá del servidor seleccionado

• En las cuentas gratuitas deberemos confirmar a través de la respuesta a un email que aún seguimos usando los dominios que no se hayan refrescado últimamente


DNS dinámico – Configuración en el router

• Services – Dynamic DNS• Habilitarlo y seleccionar el servicio en en que hemos dado de

alta el dominio host• Hostname: usar el nombre creado• Username y password: los de la cuenta creada• IP renew interval: cada 10 minutos envía un paquete al

servidor

• Force IP renew: cada 72 minutos envía un paquete al servidor

• Status: nos muestra la última actualización


Port forwarding - Introducción

• El Port Forwarding nos permite acceder a diferentes máquinas detrás del router en diferentes puertos a través de la única dirección IP pública del router

• Distinguimos a qué dirección IP local (máquina) nos conectaremos a través del puerto TCP/UDP con que el paquete llega al router a su puerto WAN a través de Internet

• Ejemplo:• Tenemos dos remotas: RUT10 en 192.168.1.10 y RUT11 en

192.168.1.11 que queremos acceder a través de MODBUS TCP• Tenemos también un servidor web en 192.168.1.9 al que queremos

acceder remotamente

• Se configura en Network – Firewall – Port forwarding


Port Forwarding - Ejemplo• Para acceder al puerto 502 (MODBUS TCP) de RTU10 usaremos el

puerto 512• Para acceder al puerto 502 (MODBUS TCP) de RTU11 usaremos el

puerto 513• Para acceder al puerto 80 (HTTP) del WEB SERVER usaremos el puerto

8080


Port forwarding – Otro ejemplo

• Si hemos de acceder al mismo puerto en varios dispositivos hemos de cambiar de puerto de acceso a través de Internet

• En el ejemplo cambiamos el puerto de acceso al router (8020, 8030 y 8032) y mantenemos la configuración en las cámaras que se acceden en puerto 80


Reglas de tráfico

• Nos permite definir reglas de tráfico de forma manual

• SE RECOMIENDA NO TOCARLAS

• En el ejemplo inferior vemos que está habilitado el tráfico VPN entrante (puerto 1194) así como el tráfico SSH, HTTP y HTTPS a través del puerto WAN (porque los hemos habilitado antes en la página de administración)


OpenVPN - Introducción

• VPN nos permite crear una red privada entre puntos remotos a través de una red pública como Internet (en nuestros ejemplos entre un PC como cliente y un router RUT500 como servidor)

• OpenVPN encripta los datos con unas claves para garantizar la privacidad a través de las redes públicas

• Dos modos de establecer la VPN:• TAP/bridge (nivel 2): todos los equipos extremos pertenecen a un

mismo segmento de red así como los enlaces entre puntos extremos• TUN/route (nivel 3): cada red local puede tener su propio

direccionamiento que a su vez es diferente de la red de conexión de la VPN. Por ello es necesario establecer las rutas estáticas para el correcto encaminamiento del tráfico entre puntos extremos de la VPN. Estas rutas deben establecerse en los terminadores de la VPN.


OpenVPN – Diagrama TAP

• Ambos extremos tienen el mismo direccionamiento 192.168.1.x así como las terminaciones de la VPN 192.168.1.1 y 192.168.1.2. Todo está en la misma red


OpenVPN – Diagrama TUN

• Las redes locales en los extremos de la VPN (A,B y C) tienen direccionamientos diferentes (.1, .2 y .3) y a su vez diferentes a los tres extremos tun0 de la VPN que sí comparten direccionamiento 10.0.0.x para poder enlazar los extremos. En cada gw debemos definir rutas estáticas


OpenVPN - Configuración servidor router

• Services – OpenVPN - Crear una instancia servidor• Pinchar en ‘Edit’ y marcar la opción ‘Enable’• Definir el tipo de VPN (tap/bridge L2 o tun/router L3)• Configurar el protocolo, puerto y compresión de acuerdo con

el cliente (deben coincidir)• Configurar tipo de clave ‘static key’ por sencillez• Cargar la static key como fichero. Debe coincidir con la clave

creada para el cliente


OpenVPN – Configuración servidor router (TAP)

• Ejemplo TAP con static key


OpenVPN – Configuración cliente PC (TAP)

• Instalar paquete openvpn • https://openvpn.net/index.php/open-source/downloads.html

• Crear fichero de configuración del cliente (TAP)• remote test-rut.ddns.net 1194 #dinamic dns y puerto• proto udp # protocolo• dev tap # modo tap/bridge L2• comp-lzo # activa compresión• ifconfig 192.168.0.3 255.255.255.0 # IP del extremo remoto del

# tunel• secret static.key # clave estática

• Configuración: la VPN, el router remoto y las máquinas que cuelgan de él están en el rango 192.168.0.x

• Ejecutar la conexión desde una ventana DOS en el directorio /bin


OpenVPN – Log conexión cliente (TAP)

• Verificar que la secuencia de incialización ha sido completada• Hacer pings o acceder al router a través de la dirección LAN

que está en el mismo rango que la VPN (pe: 192.168.0.1)


OpenVPN – Log conexión servidor (TAP)

• Verificar la conexión en el router en System – Administration – System log


OpenVPN – Configuración cliente PC (TUN)

• Ejemplo de configuración• LAN local cliente (192.168.1.0/24)• Túnel VPN (cliente 10.0.0.1 – servidor 10.0.0.2)• LAN remota servidor (192.168.0.0/24)

• Crear fichero de configuración del cliente (TUN)• remote test-rut.ddns.net 1194 # dinamic dns y puerto• dev tun # modo túnel L3 ruteado• proto udp # protocolo• comp-lzo # compresión• secret static.key # clave estática• ifconfig 10.0.0.1 10.0.0.2 # extremo local y remoto del

# túnel de la VPN

• route 192.168.0.0 255.255.255.0 # define la LAN remota• route-method exe # añade esta LAN remota a la

# tabla de rutas de Windows


OpenVPN – Configuración servidor router (TUN)

Modo Tunel

Protocolo

Puerto

Compresión

Tipo de clave (estática por sencillez)

Dirección IP del extremo local del túnel

Dirección IP del extremo remoto del túnel

Rango de IP de la red tras el cliente

Máscara de red de dicho rango

• El router ya crea la ruta estática entre el extremo del túnel y la red local y la red remota


Log conexión servidor (TUN)

• Verificar la creación del túnel con las IPs correctas• Verificar que la red remota (tras el cliente) ha sido añadida


Troubleshooting

• El router no conecta a Internet• Verificar el APN y el username y password• Verificar el PIN de la SIM (mejor desactivarlo)• Verificar que la antena GSM magnética está conectada al conector

GSM MAIN

• La conexión a Internet va muy lenta• Verificar que no hemos sobrepasado el volumen de datos da alta

velocidad mensual de la tarjeta SIM

• El router conecta a Internet pero no puedo configurar el router remotamente ni puedo entrar a máquinas detrás del router• Verificar que el remote HTTP access está habilitado (deshabilitado por

defecto)• Verificar que el operador móvil acepta conexiones entrantes y no sale

a Internet a través de proxy


Troubleshooting (II)

• Puedo entrar al router pero no me funciona el port forwarding• Revisar que la dirección IP del gateway del equipo detrás del router

apunta a la direción IP del router

• Algunas aplicaciones no me funcionan en la máquina detrás del router• Algunas aplicaciones pueden ser incompatibles con el port forwarding

o traslación de puertos. En este caso, colocar dicha máquina en la DMZ del router (al activar la DMZ perdemos la configuración remota del router)

rut500 guía de configuración rápida

Technology