We współczesnych instalacjach automatyki przemysłowej i budynkowej, które chcemy podłączyć do Internetu często spotykamy się z problemem braku publicznego adresu IP, który może być nam udostępniony przez naszego klienta. Dotyczy to zwłaszcza sytuacji, gdy urządzenia korzystają z łączności poprzez sieć GSM (karta SIM bez publicznego IP) lub są podłączone do sieci dostarczonej przez klienta z translacją adresów NAT. Bez publicznego IP trudno jest nawiązać bezpośrednie połączenie zdalne – router lub sterownik PLC nie jest osiągalny spoza swojej sieci lokalnej. Tradycyjne metody, takie jak np. przekierowanie portów (port forwarding) stwarzają zbyt duże zagrożenia bezpieczeństwa. W takich przypadkach konieczne jest zastosowanie rozwiązań umożliwiających tunelowanie połączenia – tak, aby urządzenie nawiązywało szyfrowane, wychodzące połączenie VPN, niewymagające publicznego IP ani otwierania portów inbound w firewallu.

O braku publicznego IP mówimy np. gdy router nie może uzyskać publicznego adresu – często ma to miejsce, gdy użytkownik końcowy nie zapewnia dostępu do Internetu z własnej sieci lub gdy w aplikacjach nie opłaca się wykupywać droższej usługi karty SIM z publicznym IP. W takich sytuacjach rozwiązaniem jest skorzystanie z systemów umożliwiających zestawienie szyfrowanego tunelu przez sieć publiczną. Poniżej przedstawiamy podejście: sprzętowe (router VPN Tosibox, klucz Tosibox Key lub Tosibox SoftKey), które pozwala na bezpieczny zdalny dostęp do urządzeń z danamicznym adresem IP.

Proste i bezpieczne rozwiązanie Tosibox (VPN bez publicznego IP)

Tosibox to rozwiązanie sprzętowe dedykowane dla zdalnego dostępu w systemach automatyki przemysłowej i automatyki budynkowej. Składa się z routera Tosibox Lock instalowanego przy urządzeniach w terenie oraz Tosibox Key (klucz sprzętowy USB lub aplikacja SoftKey) dla użytkownika zdalnego. Po wstępnym sparowaniu klucza z routerem tworzone jest połączenie punkt-do-punkt między Tosibox Key a Tosibox Lock, zapewniające zdalny dostęp do urządzeń w sieci LAN routera. Kluczowa zaleta: żadne publiczne IP nie jest wymagane – połączenie inicjuje sam Lock wychodzącym ruchem (outbound), więc działa nawet za NAT i firewallami. Dane przesyłane są tunelem z szyfrowaniem AES-256, bez udziału chmury pośredniczącej – komunikacja jest bezpośrednia (peer-to-peer).

Tosibox słynie z błyskawicznej konfiguracji i prostoty. Producent deklaruje, że zestawienie zdalnego dostępu zajmuje mniej niż 5 minut i nie wymaga specjalistycznej wiedzy IT. W praktyce sprowadza się to do kilku kroków, które omówimy poniżej. Jest to ogromna przewaga nad tradycyjnymi VPN, których konfiguracja często zajmuje dziesiątki minut lub nawet godziny. Jak podaje Tosibox, czynności które dawniej zajmowały dni lub tygodnie, teraz wykonuje się w kilka sekund dzięki automatyzacji. Rozwiązanie to eliminuje konieczność konfigurowania serwerów VPN, dynamicznych DNS, czy skomplikowanych zasad firewall – urządzenia Tosibox same tworzą bezpieczną sieć OT praktycznie od razu po podłączeniu.

Konfiguracja routera Tosibox krok po kroku

1. Parowanie klucza Tosibox Key z routerem Tosibox Lock: Po wyjęciu urządzeń z pudełka należy najpierw sparować fizyczny klucz Tosibox Key z routerem Tosibox Lock. W tym celu podłączamy klucz USB Tosibox Key do portu USB routera Lock. W ciągu ~10 sekund następuje wymiana certyfikatów i diody sygnalizacyjne przestaną migać – to znak, że Tosibox Key i Tosibox Lock zostały sparowane (alternatywnie możemy sparować klucz Tosibox Key z routerem Tosibox Lock zdalnie). Następnie możemy odłączyć klucz – jego rola będzie omówiona poniżej.
2. Podłączenie Tosibox Lock do Internetu: Podłączamy przewód Ethernet z dostępem do Internetu do portu WAN routera Lock. Lock automatycznie pobierze adres IP (domyślnie jest klientem DHCP na porcie WAN) i połączy się z Internetem. Rozwiązanie Tosibox jest “przyjazne NAT i firewall” – zwykle nie wymaga zmiany konfiguracji portów, cały ruch inicjowany jest od wewnątrz na zewnątrz. Alternatywnie dla routerów Tosibox Lock z wbudowanym modemem GSM wkładamy kartę SIM z dynamicznym adresem IP, podobnie jak przypadku połączenia WAN router automatycznie połączy się z internetem.
3. Dostęp do panelu konfiguracyjnego routera Tosibox Lock: Choć Tosibox działa prawie od razu po sparowaniu, warto zalogować się do panelu webowego routera Lock w celu weryfikacji ustawień sieci. Podłączamy komputer do portu serwisowego Lock. Jak aktywować port serwisowy w routerach Tosibox ? Komputer uzyska adres z DHCP portu serwis; w przeglądarce wybieramy adres 172.17.17.17 (domyślny adres panelu). Logujemy się na konto Admin (hasło znajdziemy na naklejce spodzie urządzenia. W interfejsie Tosibox możemy sprawdzić ustawienia WAN (np. czy jest DHCP client – co jest ustawieniem domyślnym. W razie potrzeby można ustawić statyczne parametry WAN, jeśli sieć lub klient wymaga stałego adresu lokalnego.
4. Konfiguracja sieci lokalnej (LAN) Lock: Domyślnie Tosibox Lock ma fabrycznie ustawiony adres LAN (np. 10.10.10.1 lub podobny) i działa jako router dla urządzeń podpiętych do jego portów LAN. Jeśli nasze urządzenia automatyki (PLC, HMI itp.) mają już swoją adresację w sieci lokalnej, możemy odpowiednio dostosować adres LAN routera Tosibox Lock, by znajdował się w tej samej podsieci co nasze urządzenia. Przykładowo, jeśli sterownik PLC pracuje na sieci 192.168.1.0/24, możemy ustawić adres LAN Lock na 192.168.1.1/24. Uwaga: Tosibox umożliwia też konfigurację NAT 1:1 – jest to przydatne, gdy łączymy wiele identycznych podsieci z tymi samymi adresami IP (unikniemy konfliktów adresów IP)). Po zmianie konfiguracji LAN zapisujemy ustawienia i restartujemy router, aby aktywować nowy adres strony LAN routera Tosibox Lock.
5. Zdalne połączenie za pomocą Tosibox Key: Po powyższych krokach urządzenie Tosibox Lock jest gotowe. Teraz instalujemy oprogramowanie Tosibox Key – jeśli dysponujemy fizycznym kluczem USB, podłączamy go do swojego komputera i instalujemy oprogramowanie klucza (lub korzystamy z SoftKey – programowego klucza, który wcześniej musi zostać wygenerowany i autoryzowany przez fizyczny klucz administratora). Po uruchomieniu oprogramowania klucza Tosibox key, klucz nawiąże szyfrowane połączenie VPN z naszym routerem Tosibox Lock. W praktyce zobaczymy, że nasz komputer otrzyma dostęp do podsieci LAN routera Tosibox Lock – możemy pingować urządzenia, łączyć się po HTTP, łączyc się oprogramowaniem narzędziowym np. TIA Portal itp., jakbyśmy byli lokalnie na miejscu. Tunel VPN punkt-do-punktu jest szyfrowany algorytmem 256-bit AES, a uwierzytelnienie odbyło się za pomocą unikalnych certyfikatów klucza Tosibox Key i routera Tosibox Lock (co stanowi coś w rodzaju fizycznego MFA. Cała transmisja pomiędzy urządzeniami jest zabezpieczona i nie ma możliwości podsłuchu czy ingerencji z zewnątrz.

Zalety rozwiązania Tosibox

Rozwiązanie Tosibox oferuje szereg przewag, istotnych dla specjalistów IT/OT:

• Błyskawiczne wdrożenie: Jak już wspomniano, konfiguracja zajmuje kilka minut. Parowanie urządzeń trwa ~10 sekund, a pełne uruchomienie tunelu poniżej 5 minut. Dla porównania, klasyczne rozwiązania VPN czy konkurencyjne urządzenia wymagają konfiguracji zajmującej zwykle 30–60 minut, a nierzadko specjalistycznej wiedzy (konfiguracja serwera, certyfikatów, reguł firewall). Tosibox eliminuje tę złożoność – automatyzuje to, co kiedyś zajmowało całe dnie.
  
  
• Prostota i bezbłędna konfiguracja: System został zaprojektowany tak, aby wyeliminować błędy ludzkie. Brak potrzeby przekierowywania portów czy zarządzania publicznym IP oznacza mniej potencjalnych pomyłek konfiguracyjnych. Tosibox nie wymaga eksperckiej wiedzy sieciowej – nawet automatycy bez doświadczenia IT potrafią go uruchomić.
  
  
• Brak ograniczeń po stronie operatorów i sieci: Tosibox działa praktycznie w każdej sieci z dostępem do Internetu – obsługuje dynamiczne, statyczne i prywatne adresy IP, radzi sobie z NAT-em i typowymi firewallem. Nie potrzebujemy publicznego IP, usług DDNS ani stałych łączy. Warunkiem jest jedynie możliwość nawiązania połączenia wychodzącego (np. brak wymogu autoryzacji przez proxy lub logowania przez stronę captive portal). Brak chmury pośredniczącej (połączenie jest peer-to-peer oznacza też, że nie ma abonamentów za dostęp – po zakupie urządzeń nie płacimy żadnych miesięcznych opłat za użytkowanie tuneli.
  
  
• Wysokie bezpieczeństwo: Połączenie jest chronione szyfrowaniem 256-bit AES i kluczami RSA 2048 bit. Dostęp jest możliwy tylko dla wcześniej uwierzytelnionych kluczy Tosibox dodatkowo zabezpieczonych hasłem. Mechanizm Physical First (fizyczne parowanie) stanowi unikalny wieloskładnikowy element bezpieczeństwa – atakujący musiałby fizycznie posiadać sparowany klucz, aby uzyskać dostęp oraz znać hasło do klucza. Ponadto architektura Tosibox z definicji blokuje ruch przychodzący spoza tunelu – żadne porty nie są wystawione na zewnątrz, a wbudowany sprzętowy firewall dodatkowo zabezpiecza sieć podłączona do routera Tosibox. Rozwiązanie posiada certyfikaty bezpieczeństwa (np. ISO 27001) i jest sprawdzone w krytycznych zastosowaniach OT.
  
  
• Skalowalność i zarządzanie: Sieć Tosibox można łatwo rozbudować o kolejne lokalizacje (dodatkowe routery Tosibox Lock) oraz kolejnych użytkowników (dodatkowe klucze Tosibox Key/SoftKey/Mobile Client). System jest modułowy – możemy tworzyć rozległe infrastruktury z centralnym zarządzaniem (np. za pomocą wirtualnej platformy Tosibox Hub dla wielu połączeń i setek użytkowników). Dodanie nowego użytkownika czy urządzenia sprowadza się do prostego sparowania kolejnego routera Tosibox Lock i nadania uprawnień dostępowych, podczas gdy w tradycyjnych sieciach VPN takie zadanie mogłoby zająć tygodnie i generować spore koszt.
  
  

Podsumowując, Tosibox to kompleksowe rozwiązanie typu plug & play dla przemysłowego zdalnego dostępu , szczególnie cenione w branży automatyki za niezawodność i minimalny czas konfiguracji.