Межгосударственный удалённый доступ через сотовую сеть

[Strohmann]

Добрый день, товарищи!

Стоит задача организовать удалённый доступ из России к пром.ПК ("оранжевый ящик" для установки, Windows XP) и IP-камере, устанавливаемым в цеху предприятия в Узбекистане. Задачи удалённого доступа - редкие подключения для контроля работы оборудования, загрузка небольших архивов параметров с пром.ПК, возможно, загрузка записи с видеокамеры. Обязательным условием является высокая безопасность подключения и гарантия того, что посторонние люде не смогут подключится к этому каналу связи.

Интернета в цеху нет, из сотовых операторов стабильную связь даёт только Ucell.

Каким образом лучше всего решить эту задачу?

Примерную структурную схему прилагаю.


Есть идея использовать мобильный интернет и промышленный роутер, вроде Robustel R3000-3P. И какую-то из VPN технологий (OpenVPN?). С VPN до этого дела не имел, поэтому пока только вникаю.
Боюсь, что могут быть проблемы с динамическим IP, предоставляемым Ucell, каким образом можно обойти этот момент? Использовать DDNS?

Буду признателен за советы и критику.

[Jackson]

Спутниковый канал будет надёжнее и не катастрофически дороже.

[Chenchukov]

Боюсь, что могут быть проблемы с динамическим IP, предоставляемым Ucell, каким образом можно обойти этот момент? Использовать DDNS?
Буду признателен за советы и критику.

Динамические IP адреса у сотовых операторов предоставляются из серого диапазона, те недоступные ни снаружи ни внутри сети.
Если все же доступны изнутри сети, то можно поставить модем этого же оператора на втором конце канала
DynDNS наверное не будет работать на серых адресах, но можно соорудить его аналог или использовать SMS для указания адреса

Если инициатором связи выступает сотовый абонент, то класс его адреса не важен.
Статические IP у некоторых ОпСоС небезопасны.

Обязательно предусмотрите аварийный канал CSD. Скорость небольшая и трафик дорогой, зато надежно и можно использовать черный-белый список для ограничения доступа.

[Jackson]

Мне кажется, что проще и надёжнее будет всё-таки пробросить обычный проводной интернет до места (или пробросить любым способом канал от места до ближайшей точки где есть проводной интернет. Если это завод то интернет там есть. Можно организовать проброс трафика с определённых IP через сеть завода.

Но если обойтись без сети завода, то нужен роутер с поддержкой "свистков" и ВПН. Через него пусть идёт весь трафик к серверу (или вашему оборудованию), физически только через него. Пусть роутер сам поднимает соединение с интернетом через свисток, а затем сам поднимает ВПН на IP наблюдателя. Мой домашний роутер ровно так и делает (ASUS RT-N66U с нестандартной прошивкой, отличие от стандартной в наличии VPN-клиента).

[Chenchukov]

Добрый день, товарищи!
Задачи удалённого доступа - редкие подключения для контроля работы оборудования

Но если обойтись без сети завода, то нужен роутер с поддержкой "свистков" и ВПН. Через него пусть идёт весь трафик к серверу (или вашему оборудованию), физически только через него. Пусть роутер сам поднимает соединение с интернетом через свисток, а затем сам поднимает ВПН на IP наблюдателя. Мой домашний роутер ровно так и делает (ASUS RT-N66U с нестандартной прошивкой, отличие от стандартной в наличии VPN-клиента).

подключения редкие, а трафик будет постоянный немалый из-за серого (внутреннего) IP адреса
проще иметь фиксированный IP и фильтрацию доступа силами местного сотового оператора

[GrayMsk]

Готовое решение http://www.ewon.biz/en/Applications/int ... ccess.html

[Exactamente]

Готовое решение http://www.ewon.biz/en/Applications/int ... ccess.html

Так оно при сером айпишнике идёт через чужие сервера. Да-да, я параноик
По-моему, надёжнее завести свой сервак и заморочиться, чтобы он делал то же самое, что и готовые решения: у него будет заранее известный адрес, на который всё и завязывается.

[Jackson]

По-моему, надёжнее завести свой сервак и заморочиться, чтобы он делал то же самое, что и готовые решения: у него будет заранее известный адрес, на который всё и завязывается.

На свой вэб-сервер?

А адрес у него будет тот что выдаст провайдер и никакой другой. :)

Сервер на той стороне кстати априори подразумевается - откуда-то же собираются тянуть записи видео, не напрямую же с камер.

Интересно, что в итоге выбрал автор, который не заходил на форум с момента написания вопроса. :)

[Exactamente]

Смотря что вы называете "своим" сервером. Не знаю, зачем ему быть веб, но можно и сайтик там поднять, чё нет-то))

Можно поставить железяку у себя, тогда заключайте договор с провайдером на белый айпишник, можно поставить или арендовать железяку у хостера, хотите - выделенный сервак и получайте белый айпишник или домен, хотите - виртуальный, и адресуйте по домену.

Кстати, по схеме совершенно не очевидно, что будет сервер для камеры.

[Jackson]

Смотря что вы называете "своим" сервером. Не знаю, зачем ему быть веб, но можно и сайтик там поднять, чё нет-то))

Можно поставить железяку у себя, тогда заключайте договор с провайдером на белый айпишник, можно поставить или арендовать железяку у хостера, хотите - выделенный сервак и получайте белый айпишник или домен, хотите - виртуальный, и адресуйте по домену.

Кстати, по схеме совершенно не очевидно, что будет сервер для камеры.

Ну это в любом случае сервак в интернете, я это имел в виду. Извиняюсь за неточность. Не думаю что оно того стОит. По-моему проще взять роутер с флешкой (или HDD), камеры умеют сбрасывать видео и по сети - будут сбрасывать туда. Сам роутер пусть уж поднимает связь, через свисток или через провода, а дальше ВПН как я Выше описывал.

Это не промышленная задача (сверхнадёжность, жёсткие там условия), а офисная - не вижу смысла тратиться на промышленные решения.

То что сервер для камер - да, не очевидно, но какбэ подразумевается, потому что куда-то же камеры девают записанное. Если это блок регистрации то он и есть файлосклад, если такового нет а просто камеры развешаны - всё равно какой-то NAS городить надо. И какие-то файлы с данными о которых говорил топикстартер тоже надо где-то держать.

[Jackson]

Можно конечно взять камеры с флешкой, а потом с этой флешки по сети и читать, но тогда персонал будет бегать раз в год-два менять эти флешки, потому что их ресурс не вечен.

[Stavra Poll]

Можно конечно взять камеры с флешкой, а потом с этой флешки по сети и читать, но тогда персонал будет бегать раз в год-два менять эти флешки, потому что их ресурс не вечен.

Основная проблема не ресурс памяти, а сетевой трафик. Если он со стороны завода не ограничен, то можно тупо перекачивать архивы и текущее состояние системы на сервер и клиент по мере необходимости будет просматривать файлы. Но поскольку заранее не известно за какой период информация нужна клиенту, то перекачивать и складимровать нужно все подряд.