VPN för M2M och IoT

En mycket viktig funktion inom M2M och IoT är möjligheten att koppla samman alla enheter i ett privat och säkert nätverk

Vi tänkte berätta om en speciell VPN-lösning som är utvecklad specifikt av Avantech för M2M och IoT. Dessutom kommer vi förklara de andra vanliga teknikerna för VPN-tunnling och säkerhet.

Olika typer av VPN
  • IPSec
  • PPTP
  • L2TP över IPSec
  • Webbaccess/VPN
  • Phantom (Multilink VPN)
IPSec

IPSec är en vanlig VPN-teknik som stöds av de flesta större routertillverkare. Det är en väldigt vanlig lösning men den har några fallgropar man måste tänka på. IPSec är tänkt som en permanent tunnel som alltid ligger uppkopplad mellan olika routrar.

IPSec är lämplig för exempelvis lösningar där man kontinuerligt vill hämta data från de olika näten.

Nackdelar är:

  • Kräver unika lokala subnät bakom varje router (192.168.1.x, 192.168.2.x, 192.168.3.x o.s.v.) vilket kan vara mycket svårt att administrera i stora installationer med 100-tals routrar.
  • Känslig för störningar om klienten har icke publik IP (t.ex. vissa 4G abonnemang).
    Fungerar bäst och stabilast om man köper till funktionen "Fast IP" till sitt mobilabbonnemang.

PPTP

PPTP är vanligt VPN-protokoll där man tillfälligt vill koppla upp sig mot t.ex. en router på fältet. Används vanligtvis vid speciella tillfällen för t.ex. service där man vill nå in till produkterna bakom en router för t.ex. service. PPTP är mycket enkelt att använda. Teknikern kopplar upp sig mot respektive router med login och lösenord.

Nackdelar med PPTP:

  • PPTP är knäckt och inte längre klassat som krypterat.
  • Kräver en publik IP på abonnemanget på routern man vill nå
  • Endast tillfällig uppkoppling till en router åt gången.

L2TP

L2TP (med IPSec-kryptering) är en modern ersättare till PPTP. Precis som PPTP är den tänk framföralt för tillfälligt anslutningar

Nackdelar med L2TP:

  • Kräver en publik IP på abonnemanget på routern man vill nå
  • Endast tillfällig uppkoppling till en router åt gången.

Advantech Webbaccess/VPN

Advantech Webaccess/VPN är en VPN-hub som bygger på OpenVPN server men där man har byggt en komplett VPN hub dit alla routrar och klienter ansluter. Lösningen är speciellt framtagen för M2M och IoT där man har många routrar men inte skicka jättemycket data.

Fördelen med systemet jämfört med andra typer av VPN är

  • Man kan ha samma fysiska IP-subnät på alla routrar (t.ex. 192.168.1.x) men fortfarande nå alla produkter bakom respektive router via ett virtuellt subnät (t.ex. 10.0.1.x)
  • Alla rättigheter om vilka routrar som får prata med varandra styrs central i SmartCluster
  • Systemet är helt oberoende av om man har privata eller publika IP adresser och fungerar därmed på alla mobilabbonnemang.
    Man kan t.o.m. placera Advantec routrar bakom kundbrandväggar.

Nackdelar:

  • Webaccess/VPN skickar all data via den centrala VPN-hubben så systemet lämpar sig inte där man skickar extremt mycket data (t.ex. kameraövervakning).

Webaccess/VPN ger även virtuella IP-nät vilket gör det enkelt att konfigurera alla siter. Du kan köra samma lokala 192.168.1.x-nät på alla siter och ändå nå dina enheter på respektive site via virtuella 10.x.x.x-adresser.

Webaccess/VPN är en virtuell server som körs på en dator i ert nät, i en datahall eller på en hyrd dator/virtuell dator hos någon ISP.

Du installerar Webaccess/VPN-appen i routern. Sedan gör du dina inställningar i web-interfacet på Webaccess/VPN så hämtar routern automatiskt alla inställningar och ansluter via tunneln till Webaccess/VPN.

Alla routrar och mobila användare ansluter till Webaccess/VPN. I Webaccess/VPN talar du sedan via kryssrutor vilkan routrar/användare som skall kunna nå vilka nät. Du kan ändra alla rättigheter utan att behöva ändra inställningar i routrar eller mjukvaruklienter.

Rättighter till andra nätverk styrs enkelt via kryssrutor

Hur många kan säga att de konfigurerat en ny router med VPN-tunnel på 30 sekunder?

Och det bästa av allt: routern kopplar direkt upp till Webaccess/VPN-servern och är redo på direkten oavsett om ni har dynanisk IP, om mobiloperatören har någon brandvägg aktiverad i nätet eller on ni kopplar in en Advantech router bakom en annan brandvägg.

Behöver du nå utrustning som placerats bakom en större brandvägg (ex. du installerar kyldiskar med övervakning/larm i ICA-butiker och får ansluta dig till handlarens internet) så kan du enkelt köra Andvantech Ethernet-router.

Det blir superenkelt att nå dina siter. Varje router får ett eget virtuellt IP-nät vilket gör att du alltid kan nå in bakom dina routrar. t.ex. kan du ge router 1 virtuella IP-serien 10.0.1.0 till 10.0.1.255, router 2 IP-serien 10.0.2.0 till 10.0.2.255 o.s.v.

Se routrar med fysisk och virtuellt nätverk

Hyr ut VPN som en tjänst till era kunder

Webaccess/VPN kan hantera multipla VPN-nät för olika grupper/kunder. Så om ni är intresserade att drifta VPN-montjänst åt era kunder så kan ni hyra ut kapacitet i ert system. Alla kunder kan få egna login där de kan administrera sina routrar/användare. Tänk på att all VPN-trafik passerar via SmartCluster så har kunden stora behova av VPN-banbredd så är en egen VPN serverför kunden kanske att föredra. Eller köra IPSec mellan de nät som behöver mycket kapacitet.

Bäst av allt. Webaccess/VPN är gratis upp till 5 routrar/användare. ;-)

Kontakta oss för mer information Webaccess/VPN.

Phantom VPN - Multilink VPN

Frekvensband sverige mobil datakommunikation

Celerway Phantom är Celerways egna VPN-tunnellösning. Den har utformats för att tunnla över multipla internetlänkar samtidigt. Phantom stödjer lastbalansering och automatisk fail over mellan olika internetlänkar inom samma Phantom VPN-tunnel. Något som inte fungerar med standard-VPN såsom IPSec eller OpenVPN.

Celerways Phantom VPN säkerställer 100% uptime, oavsett vad som händer med de olika internetlänkarna.

Celerways Phantom VPN ger maximal hastighet över VPN-tunneln genom lastbalasering av flera internetlänkar. För maximal totalkapacitet har Celerway byggt sin VPN teknik med lastbalansering i stället för bonding. Detta ger mycket högre totalkapacitet jämfört med bonding som stjäl en stor del av totala kapaciteten.

På huvudkontoret han man antingen en Celerway router som Phantom VPN-server eller så kör man en virtuell Celerway router i en virtualiserad miljö.

Om man vill skala upp lösningen för redundans eller stora datamängder som kan man använda flera VM-instanser av Phantom vid behov. Flera VM:er kan dela samma backend så att nycklar är synkroniserade mellan olika instanser. Detta kan användas för att erbjuda redundans och säkerställa att VPN-tjänsten är tillgängliga under uppdatering eller underhåll.

Celerway Phantom är ett certifikatbaserat VPN-protokoll som är väldigt lätt att konfigurera. Det jobbar med certifikat precis som OpenVPN men är väldigt mycket lättare att konfigurera än OpenVPN. Och mycket mer flexibelt än exempelvis IPSec.

Phantom är en TLS VPN med en modern efterföljare till AES-kryptering (ChaCha20 stream cipher med Poly1305 Authenticator. Används bl.a. av Google) som ger mycket bättre VPN-prestanda med bibehållen säkerhet från AES-krypteringen. Och den unika fördelen att det kan hantera trafik från multipla internetförbindelser samtidigt.

Certifikaten skapas automatiskt för varje klientenhet i den enhet som är Phantom server och exporteras enkelt in till respektive klientenheter utan massa krångel med att generera egna certifikat i olika steg.