Port-Forwarding als einfache Lösung für SIM-Karten mit festen, erreichbaren IP-Adressen.
Situation
Der Zugriff auf ein IP-Gerät (z. B. Modbus TCP) im lokalen Netzwerk des Routers soll von einem PC aus über das Mobilfunknetz erfolgen. Dazu verfügen Sie über eine M2M-SIM-Karte mit fester IP-Adresse, die im Netz des SIM-Karten-Providers erreichbar ist.
Lösung
Die Lösung hierfür ist Port-Forwarding (Destination-NAT). Der Router leitet Verbindungen, die an seine LTE-IP-Adresse gerichtet sind, an das Zielgerät im lokalen Netz weiter, in diesem Fall ein Modbus-Gerät. Es wird eine Port-Forwarding (Destination-NAT)-Regel im Router angelegt, die Modbus-Verbindungen an das Modbus-Gerät (Zielgeräts) weiterleitet.
Im folgenden Übersichtsbild hat das Zielgerät die Adresse 192.168.2.100 und den Port 502 (Standard-Port für Modbus) im IP-Netz net2 des Routers. Die IP-Adresse des Routers im Netz des Providers hat die Adresse 1.2.3.4.
Bitte beachten Sie!
Der Zugang vom PC in das Netz des SIM-Karten-Providers (üblicherweise ein VPN-Zugang) wird hier nicht näher beschrieben, da dieser vom Provider abhängig ist.
Vorbedingung!
Für die folgende Konfiguration wird davon ausgegangen, dass sich Ihr Router in Werkseinstellungen befunden hat und mit dem Schnellstart-Assistenten so in Betrieb genommen wurde, dass er eine LTE-Verbindung aufbauen kann und ein lokales Netzwerk net2 im Adressbereich 192.168.2.0 konfiguriert hat.
Öffnen Sie die Bedienoberfläche des Routers: https://insys.icom
Klicken Sie auf der Seite Netzwerk → Firewall / NAT unter Destination-NAT auf , um eine Destination-NAT-Regel hinzuzufügen und konfigurieren Sie diese entsprechend:
Beschreibung: DNAT rule for port forwarding to Modbus port
Typ: Portforward
Protokoll: TCP
Eingehendes Interface: lte2
Ziel-Port: 502
Destination-NAT auf Adresse: 192.168.2.100
Destination-NAT auf Port: 502
Klicken sie auf SPEICHERN.
Klicken Sie auf der Seite Netzwerk → Firewall / NAT unter IP-Filter auf , um eine IP-Filter-Regel hinzuzufügen (welche die Übertragung von TCP-Datenpaketen aus dem WAN-Netz lte2 an Port 502 der IP-Adresse 192.168.2.100 in IP-Netz net2 ermöglicht) und konfigurieren Sie diese entsprechend:
Beschreibung: Traffic from lte2 to 192.168.2.100
Paket-Richtung: FORWARD
IP-Version: Alle
Protokoll: TCP
Eingehendes Interface: lte2
Ausgehendes Interface: net2
Ziel-IP-Adresse: 192.168.2.100 / 32
Ziel-Port: 502
Klicken sie auf SPEICHERN.
Aktivieren Sie das Profil mit einem Klick auf PROFIL AKTIVIEREN .
Erfolgskontrolle
Um zu verifizieren, ob die Port-Weiterleitung auf das Modbus-Gerät am Router funktioniert, können Sie beispielsweise einen Modbus Master-Simulator (wie Modbus Poll) verwenden, um eine Testverbindung aufzubauen. Bauen Sie dazu eine Modbus TCP-Verbindung zur festen IP-Adresse der SIM-Karte über Port 502 auf. Kann die Verbindung aufgebaut werden, funktioniert das Port-Forwarding wie erwartet.
Fehlersuche
Deaktivieren Sie im Menü Netzwerk → Firewall / NAT unter Einstellungen IP-Filter die IP-Filter für IPv4, um herauszufinden, ob falsche Filtereinstellungen der Grund für Verbindungsprobleme sind.
Trennen sie die Ethernet-Verbindung zwischen Ihrem Konfigurations-PC und dem Router und geben Sie die feste IP-Adresse der SIM-Karte in ihren Browser ein, um zu verifizieren, dass Sie über die Mobilfunk-Verbindung auf den Router zugreifen können.
Klicken Sie im Menü Administration → Debugging auf DEBUG-WERKZEUGE ÖFFNEN , wählen Sie das Werkzeug TCP-Dump, geben Sie den Parameter -i net2 ein und klicken Sie auf SENDEN. In diesem TCP-Dump können Sie verifizieren, ob die Port-Weiterleitung in das IP-Netz net2 des Routers funktioniert.