EMnify Kunden können sich über eine OpenVPN-Verbindung mit ihren M2M/IoT-Geräten verbinden, die mit EMnify SIM Karten ausgestattet sind. Der Datenverkehr zwischen den Geräten und dem Applikationsserver wird über ein VPN ausgetauscht, so dass eine direkte Kommunikation zwischen ihnen möglich ist (kein NAT angewendet).
Der Tunnel wird zwischen dem EMnify Core Network und dem VPN-Gateway oder Server des Kunden aufgebaut.
Zwischen den IoT/M2M-Geräten und dem EMnify-Core ist kein VPN erforderlich, da die Verbindung zwischen ihnen verschlüsselt ist. Daher ist es nicht notwendig, eine VPN-Software auf Ihren Geräten zu installieren.
Service Profile Konfiguration
Stellen Sie sicher, dass dasService Profil, das den Endpunkten zugeordnet ist, die richtige Einstellung hat: Wählen Sie einen regionalen Internet-Breakout mit einer VPN-Option.
OpenVPN Konfiguration für Linux/Ubuntu
1. Installation der OpenVPN Software
Installieren Sie das OpenVPN-Paket.
|
2. VPN-Konfigurationsdatei herunterladen und installieren
Melden Sie sich an, auf der EUI und klick Sie auf das "Link" Symbol in der oberen rechten Ecke. Klicken Sie auf "Download client.conf" unter "Setting up OpenVPN on Linux" und wählen Sie eine Region (EU, US oder AP Southeast).
Speichern Sie die Datei "***.conf" im Ordner /etc/openvpn
3. Credentials für die Authentifizierung erstellen
Im Ordner /etc/openvpn erstellen Sie eine "credentials.txt" Datei. Diese Datei wird die Informationen zur Authentifizierung Ihrer Sitzung enthalten, entweder über EMnify-Benutzerdaten (a) oder mit einem Application-Token (b) (empfohlen).
a) Authentifizierung mit User Credentials
Die Textdatei "credentials.txt" sollte nur zwei Zeilen wie folgt haben :
|
b) Authentifizierung mit Application Token
Wir empfehlen, als Authentifizierung einen Application token zu verwenden. Sie können Application Tokens in der EUI im gleichen Link Bereich anlegen. Legen Sie einen an und kopieren Sie ihn. In der Textdatei "credentials.txt" sollte die erste Zeile Ihre Organisations-ID sein, gefolgt vom Token.
|
c) Schutz der Credentials-Datei
Sie sollten die Datei credentials.txt nur für root und nicht für andere Benutzer Ihres Servers lesbar halten. Dies können Sie mit den folgenden Befehlen sicherstellen:
|
4. Aufbau und Überwachung der OpenVPN-Verbindung
Jetzt können Sie OpenVPN mit dem folgenden Befehl starten:
|
Die Logs werden unter /var/log/syslog gespeichert. Wenn alles gut funktioniert, sollte es so aussehen:
|
5. Statische private IP Adresse des VPN-Clients
Der EMnify OpenVPN-Server weist der TUN Interface Ihres VPN-Clients eine statische IP-Adresse zu. Sie ändert sich nicht jedes Mal, wenn der Client neu gestartet wird oder wenn dieselbe Konfiguration auf einem anderen Rechner verwendet wird. Sie können diese IP-Adresse auf Ihren IoT-Geräten konfigurieren, um sich mit ihnen zu verbinden. Sie sollten jedoch nicht direkt die statische IP Ihrer TUN-Schnittstelle eingeben, sondern immer ein DNS verwenden, um diese aufzulösen.
Sobald die Verbindung hergestellt ist, können Sie die IP-Adresse Ihres Tun-Interfaces mit dem Befehl "ip a s tun0" ermitteln.
|
In diesem Beispiel lautet die IP Adresse: 10.64.0.224
5. Testen der Datenkonnektivität
Wenn die VPN Verbindung richtig aufgebaut ist, können Sie sich direkt mit Ihrem IoT/M2M Geräten verbinden (sie haben eine Private IP).
Zum Testen wählen Sie ein Gerät, das gerade eine aktive Datensitzung hat (im EMnify-Portal als ONLINE markiert). Finden Sie die IP Adresse des Geräts und pingen Sie es im Command Prompt (cmd Application auf Windows).
|
Damit dies funktioniert, muss Ihr Gerät einen IP-Stack ausführen, der auf ICMP-Echo-Anfragen reagiert, was bei Embedded-Geräten, die nur teilweise IP-Stack-Funktionalität implementieren, nicht der Fall sein kann.
6. Einstellung des VPN-Clients als VPN-Gateway
Sie können Ihren VPN-Client als VPN-Gateway verwenden, wenn Sie verschiedene Server im selben Netzwerk haben, die eine Verbindung zu Ihren Geräten herstellen müssen. Dazu müssen Sie IP Masquerade aktivieren, um alle Ihre IPs hinter der IP Ihres VPN-Clients zu gruppieren.
Zuerst Aktivieren Sie IP-Forwarding auf Ihrem VPN-Client durch Bearbeiten der Datei /etc/sysctl.conf
Setzen Sie net.ipv4.ip_forward=1
Dann laden Sie die Konfiguration mit dem folgenden Befehl:
|
Aktivieren Sie nun MASQUERADE für die TUN-Interface.
|
Sie haben auch die Möglichkeit, mit DNAT Port Forwarding einzustellen.
Beispiel: Um einen HTTP-Request an den Server 192.168.100.21 weiterzuleiten, verwenden Sie diesen Befehl:
|
Diese Einstellungen können Sie mit dem Paket "iptables-persistent" dauerhaft festlegen.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.