• iRidium studio 2019
• Локальное и удаленное управление, Cloud Gate

Оборудование, сервис, iRidium server - любой ресурс, с которым должен взаимодействовать i3 pro, может находиться с ним в одном сегменте IP-сети (локально), и в разных, когда необходимо подключение через интернет (удаленно).

Например, смартфон с i3 pro может быть подключен к системе автоматизации локально, когда находится в домашней Wi-Fi сети, и удаленно, когда использует мобильный интернет.

Локальное соединение - проще и безопаснее, но, если есть необходимость удаленного управления автоматикой, его недостаточно. Рассмотрим варианты связи с оборудованием по IP-сети, их плюсы и минусы:

Подключение к локальному IP-адресу​

Это способ связи с оборудованием "по умолчанию". Когда вы находитесь в одной локальной сети с объектом автоматизации, в настройках достаточно указать локальный IP-адрес и порт (например адрес 192.168.0.100, порт 80) устройства, чтобы подключиться к нему.

Плюсы:

• работает сразу, не требует настроек IP-сети
• исключает (не полностью) доступ злоумышленников к объекту автоматизации через интернет

Минусы:

• нет возможности удаленного управления объектом

Как настроить:

• узнайте IP-адрес управляемого оборудования, к которому будет подключаться i3 pro или iRidium server, внесите его в поле Host настроек драйвера. Крайне рекомендуется выдавать оборудованию статические IP-адреса
• в документации к оборудованию (или в документации к драйверу) узнайте порт, через который к оборудованию нужно подключаться для управления, внесите его в поле Port настроек драйвера
• укажите другие параметры подключения – согласно документации к драйверу

Пример 1: i3 pro подключается к iRidium server, который запущен на ПК с IP-адресом 192.168.0.100. Используется режим "прямого подключения", альтернатива которому – Cloud Gate, описанный далее

Пример 2: iRidium server подключается к KNX IP интерфейсу, которому присвоен статический IP-адрес 192.168.0.220

Подключение к внешнему IP-адресу или домену​

Устройства, доступ к которым возможен через интернет, имеют IP-адреса в интернете – внешние адреса. Эти адреса могут быть статическими – постоянными, и динамическими – меняющимися с течением времени.

Выделение неизменного IP-адреса в интернете - это услуга, которую ваш провайдер может предоставлять или НЕ предоставлять, и тогда подключение по IP-адресу вам не подойдет. Но, вы можете воспользоваться технологией динамического DNS для назначения постоянного доменного имени устройству с динамическим IP-адресом. Таким образом, i3 pro или iRidium server, обращаясь по доменному имени, будут получать IP-адрес устройства и подключаться к нему. Услугу аренды субдоменов для реализации технологии DDNS предоставляют множество платных или условно-бесплатных сервисов.

Плюсы:

• предоставляет доступ к системе автоматизации через интернет
• отлично подходит, если вы подключаетесь не к физическому устройству, а к сайту, соединение с которым защищено SSL или другим способом идентификации пользователя и защиты трафика (в этом случае перечисленные далее минусы – не актуальны)

Минусы:

• это небезопасно! если оборудование не защищено от несанкционированного доступа (как KNX, HDL, Modbus и множество других систем), вы никак не сможете избежать вероятности несанкционированного доступа к вашему оборудованию. А если оборудование поддерживает защиту – помните, что безопасность обеспечивают только механизмы самого оборудования, которые могли не обновляться много лет
• вам предстоит настроить роутер на объекте автоматизации:
• открыть доступ к устройству автоматизации для внешних подключений (пробросить порт или порты устройства на роутере для возможности доступа к нему из внешних сетей)
• • настроить роутеру статический (постоянный) IP-адрес в интернете, если провайдер предоставляет такую услугу (да, с провайдером тоже нужно договориться)
• вам нужно настроить DDNS, если провайдер не предоставляет статические IP-адреса и вы хотите использовать домен
• вам нужно настроить не DDNS, а VPN, если вы хотите обеспечить интернет-соединение, безопасность которого обеспечивается не только механизмами, которые есть у самого оборудования, но и механизмами VPN

Предостережение:
мы не рекомендуем вам "выставлять" оборудование в интернет. Если у вас нет возможности использовать iRidium server с безопасным Gloud Gate, то воспользуйтесь технологией VPN.

Как настроить:

• узнайте статический IP-адрес или доменное имя управляемого оборудования в интернете, внесите его в поле Host настроек драйвера. Если у устройства/сервиса есть доменное имя, внесите его в поле Host (без http://)
• узнайте порт, через который ваш роутер принимает внешние подключения к этому оборудованию (он может не совпадать с локальным портом управления), внесите его в поле Port настроек драйвера. Если это адрес сайта, укажите порт 80
• укажите другие параметры подключения – согласно документации к драйверу

Пример: i3 pro подключается к субдомену сайта thingspeak.com для отправки GET-запросов

Удаленное подключение через Cloud Gate​

Если вы используете iRidium server, реализовать защищенное подключение i3 pro к системе автоматизации можно с помощью сервиса Cloud Gate, который требует минимальных настроек.

Cloud Gate обеспечивает подключение i3 pro к iRidium server через интернет и защиту данных.

Плюсы:

• обеспечивает доступ к объекту автоматизации через интернет
• пользователь – идентифицируется, трафик – шифруется
• может автоматически переключаться между локальным и интернет-соединением
• бесплатно в рамках текущей лицензии iRidium
• легко настроить, не требует никаких знаний в области администрирования сетей

Минусы:

• не работает без iRidium server на объекте автоматизации. Сервер выступает шлюзом между i3 pro и устройствами автоматизации, которыми нужно управлять через интернет

Как настроить:

• Настроить Cloud Gate

IP-камеры через интернет​

Проблема просмотра видео с IP-камер стоит довольно остро, т.к. каждая IP-камера – это, по сути, устройство автоматизации, к которому применимы все минусы, описанные для оборудования, "выставленного" в интернет, и в то же время, для них неприменим Cloud Gate, т.к. i3 pro получает видео с IP-камер напрямую, минуя iRidium server.

Варианты:

• использовать сервис, который обеспечит онлайн-доступ к видео в реальном времени. Для сервиса Ivideon существует одноименный lite-модуль, который позволит встроить видео-поток, транслируемый сервисом, в интерфейс i3 pro. В случае с другими сервисами, видео не удастся встроить в интерфейс, но можно будет открыть в браузере
• надеяться, что защита доступа, которую обеспечивает ваша IP-камера (по логину и паролю) – достаточно надежна, и злоумышленник ее не обойдет. Выставить камеры в интернет с помощью DDNS или статического адреса
• использовать VPN как единственный способ удаленного подключения ко всему объекту автоматизации
• отказаться от просмотра видео с IP-камер через интернет :)