Proč Domat Proxy?
Domat Proxy je služba, která umožňuje přístup k PLC v síti LAN bez nutnosti zřizovat přístup do sítě přes veřejnou IP adresu. Pokud se totiž chceme na PLC, které je v roli (SSCP) serveru, připojit zvenčí – přes síť Internet a veřejnou adresu routeru, který vnitřní síť spojuje s Internetem, musí být v routeru nastaveno pravidlo pro přeposílání dat na vnitřní adresu v síti – adresu PLC. Těmto nastavením se obvykle správci sítě snaží vyhnout, protože otevřený port na veřejné IP adrese představuje bezpečnostní riziko: může se stát cílem útoku.
Ideálním řešením je použít VPN: zřídit samostatnou technologickou síť, na straně PLC nasadit VPN router a propojit tak PLC a klienta zabezpečeným prostředím. To ale vždy není možné nebo ekonomické. Pak může přijít vhod služba Domat Proxy, která zprostředkuje spojení PLC a SSCP klienta (např. Domat IDE nebo SCADA), aniž by bylo nutné na routeru nastavovat pravidla pro příchozí pakety.
Jak to celé funguje?
Předpokladem je, aby PLC bylo instalováno v síti, z níž je přístup na Internet. Dále musí v PLC být nastavena síťová brána (Default Gateway) a adresa DNS serveru. Brána je nutná k tomu, aby PLC mohlo posílat data do sítě Internet, DNS server musí být dostupný pro úspěšný překlad doménového jména (zde plcproxy.domat.cz) na IP adresu.
Oddělení technické podpory (support@domat.cz) na požádání zdarma vygeneruje tzv. Proxy ID. To je kód, s kterým se PLC hlásí na proxy server a otvírá tak komunikační kanál. PLC se po nahrání konfigurace samo připojí s přiděleným Proxy ID na proxy server, který provozuje Domat, a je připraveno přijímat z proxy serveru data. Úspěšné připojení můžeme vidět ve Stavu systému v PLC (Connected).
Klienti pak nepřistupují přímo na PLC (kam je router nepustí), ale na tento proxy server se stejným Proxy ID, jako je nastavené v PLC. Klientem může být Domat IDE, SCADA, nebo jakýkoli jiný klientský program (OPC server, Domat Visual atd.). Spojení může být nastaveno jako zabezpečené (TLS), viz nápověda k IDE – v tom případě je nutné v adrese proxy serveru použít protokol https://, resp. tcps:// a jiné TCP porty.
Jaké jsou náklady?
Přidělení Proxy ID i samotná služba jsou zdarma. Domat Proxy usnadní dálkovou správu i uvádění do provozu - stačí, aby PLC mělo přístup na Internet. Využití Domat Proxy je bezpečnější, než přesměrovávání provozu z veřejné IP adresy, mapování portů atd., neboť z hlediska sítě zákazníka se jedná o odchozí http(s) spojení, které je obvykle bez problémů povolováno. Přes Domat Proxy lze číst i zapisovat hodnoty, ale i přehrávat program, restartovat PLC a stáhnout či nahrát konfiguraci PLC, jde tedy o plnohodnotný programátorský přístup. Jedná se ovšem o službu negarantovanou, čtěte proto pozorně licenční podmínky.
Ještě něco důležitého?
Podrobné nastavení na straně PLC i klientských programů najdete v nápovědě Domat IDE. V případě SCADA se proxy spojení a případně jeho zabezpečení nastavuje v definičním datovém bodu spojení v RcWare Vision. Pozor, zabezpečené spojení přímo v RcWare Vision není funkční, nelze je zde proto testovat; v SCADA ovšem i zabezpečené spojení funguje správně. Domat Visual zatím zabezpečení spojení nepodporuje.
I přesto, že PLC není přímo vystaveno na Internet, je vhodné dodržovat základní bezpečnostní opatření, zejména nepoužívat výchozí heslo pro přístup k PLC a používat pro připojení jen takovou úroveň, která je nutná (například SCADA se nemusí připojovat jako admin, ale jako user, protože nebude provádět programovací nebo konfigurační práce). Celková bezpečnostní koncepce by měla být navržena ve spolupráci s provozovatelem zařízení. Domat Proxy může pomoci při uvádění do provozu a servisu především v rané fázi projektu a těsně po jeho dokončení, kdy si na akci, u níž se s trvalým vzdáleným přístupem nepočítá, dočasně instalujeme LTE modem. Domat Proxy v tomto případě výrazně zjednoduší nastavení konektivity – není nutné u poskytovatele objednávat veřejnou IP adresu či zřizovat APN.
V případě dotazů neváhejte kontaktovat technickou podporu Domat.