Каталог
Зателефонуйте мені
Каталог

Віддалений доступ до ПЛК через VPN: надійне рішення на базі MikroTik і Teltonika

Віддалений доступ до ПЛК через VPN: надійне рішення на базі MikroTik і Teltonika
Автор: Andriy Savechka Опубліковано: 19.10.2025 Переглядів: 494 Коментарів: 0

У більшості випадків для організації віддаленого доступу до обладнання інженери використовують такі програми, як TeamViewer чи AnyDesk. Проте ці рішення мають кілька суттєвих недоліків: для їх роботи зазвичай потрібен додатковий комп'ютер на стороні клієнта, який повинен постійно бути увімкненим і підключеним до інтернету. Крім того, безкоштовні версії таких програм часто показують нав'язливу рекламу або вимагають оплату для продовження роботи після певного періоду. Саме тому набагато ефективніше налаштувати пряме VPN-з'єднання між офісом і віддаленим обладнанням - це дозволяє працювати з контролерами, панелями HMI чи іншими пристроями без посередників, безпечніше та стабільніше.

Варто зазначити, що матеріал нижче розрахований на користувачів, які мають базове розуміння мережевих технологій - таких як IP-адресація, маршрутизація та принципи роботи VPN-з'єднань. Це не глибокий технічний посібник, а практичний приклад налаштування, який допоможе зрозуміти логіку взаємодії між пристроями. Якщо ви впевнено орієнтуєтесь у параметрах мережевих інтерфейсів і знаєте, чим відрізняється локальна адреса від віддаленої, то виконати наведені кроки не складе труднощів.

Перед тим, як почати

Перш ніж переходити до налаштування VPN-з'єднання між MikroTik і Teltonika, необхідно підготувати кілька ключових речей. Найважливіше - це публічна (біла) статична IP-адреса на стороні MikroTik, який виконуватиме роль VPN-сервера.

Без неї створити стабільне з'єднання не вийде, адже маршрутизатор Teltonika (як клієнт) повинен мати можливість постійно підключатися до зовнішньої адреси сервера. Якщо IP-адреса буде динамічною (тобто змінюватиметься після кожного перезапуску або через певний час), то VPN-клієнт втратить зв'язок, і всі підключення до віддалених ПЛК будуть недоступні.

Отже, перед початком переконайтеся, що:

  • ваш MikroTik має білу статичну IP-адресу (її можна перевірити в налаштуваннях інтернет-провайдера або в розділі IP → Addresses);

  • порт, який використовуватиметься для VPN (наприклад, 1194 для OpenVPN), відкритий у firewall;

  • маршрутизатор Teltonika має стабільне підключення до інтернету (через Ethernet, мобільну мережу або Wi-Fi).

Якщо у вас немає білої статичної IP-адреси, не проблема - у більшості випадків її можна отримати у вашого інтернет-провайдера. Зазвичай така послуга надається за невелику додаткову плату, але натомість ви отримаєте стабільний і надійний канал зв'язку для віддаленого доступу до свого обладнання.

Обладнання, використане у статті

Для прикладу налаштування було використано просту, але повністю робочу конфігурацію з доступних пристроїв:

  • MikroTik hAP ax³ - головний маршрутизатор, який виконує роль VPN-сервера. Потужний процесор і підтримка Wi-Fi 6 дозволяють без проблем обробляти декілька тунелів одночасно та забезпечують стабільну роботу навіть при великій кількості з'єднань.

  • Teltonika RUT200 - компактний VPN-клієнт, встановлений на віддаленому об'єкті. Підключається до інтернету через SIM-карту або Ethernet і створює захищений тунель до MikroTik.

  • Siemens CPU 1515-2 PN - програмований логічний контролер, до якого здійснюється віддалений доступ через VPN для програмування, діагностики та моніторингу.
    s7-1500 plc

Ця комбінація є типовою для невеликих промислових об'єктів або лабораторних стендів, де потрібно організувати надійний зв'язок із ПЛК без складних корпоративних мереж.

Топологія мережі

На схемі нижче зображено типову структуру для організації віддаленого доступу до ПЛК через VPN-тунель між центральним офісом і віддаленим об'єктом.

VPN_SETUP

 

Щоб зрозуміти логіку налаштування VPN, спочатку розберімося з топологією нашої системи. У цій схемі ми маємо два основних вузли - центральний офіс, де знаходиться MikroTik (VPN-сервер), і віддалений об'єкт, на якому встановлено Teltonika RUTX11 (VPN-клієнт) та контролер Siemens S7-1515-2 PN.

На стороні офісу маршрутизатор MikroTik має публічну статичну IP-адресу 188.X.X.X, через яку з ним встановлюється VPN-з'єднання. Його локальна мережа працює в діапазоні 172.16.1.0/24, де, наприклад, підключений ноутбук інженера з IP-адресою 172.16.1.10. Саме з цього ноутбука ми пізніше будемо підключатися до ПЛК у віддаленій мережі.

На стороні віддаленого об'єкта розташований маршрутизатор Teltonika RUTX11, підключений до інтернету (WAN IP - 192.168.50.161) і до локальної мережі з адресами 192.168.100.0/24. У цій мережі працює ПЛК Siemens CPU 1515-2 PN з IP 192.168.100.10. Саме до нього ми прагнемо отримати віддалений доступ.

Після налаштування IPsec-тунелю між MikroTik і Teltonika буде створено зашифрований канал, через який обидві мережі зможуть «бачити» одна одну. Для цього використовуються окремі VPN-адреси:

  • 10.10.10.1 - MikroTik (сервер);

  • 10.10.10.2 - Teltonika (клієнт).

Завдяки цьому інженер, підключений до мережі офісу, зможе напряму звертатися до ПЛК у віддаленій мережі, ніби він знаходиться в одному приміщенні.

Налаштування обладнання

Після того як ми визначили топологію та розібралися з логікою побудови VPN-з'єднання, переходимо до найцікавішого - налаштування маршрутизаторів. На цьому етапі ми крок за кроком створимо захищений тунель між MikroTik і Teltonika, завдяки якому інженер зможе отримати прямий доступ до віддаленого ПЛК. Почнемо із налаштування MikroTik, який виступає в ролі VPN-сервера.

Налаштування MikroTik

Налаштування VPN-сервера (L2TP/IPsec)

Щоб забезпечити віддалений доступ до обладнання через захищений тунель, спершу потрібно налаштувати VPN-сервер на MikroTik. Нижче наведено послідовність дій

У головному меню WinBox перейдіть до пункту PPP - це розділ, де налаштовуються всі типи VPN-з'єднань.

mik1 У відкритому вікні знайдіть вкладку L2TP Server..

mik2

У вікні L2TP Server поставте галочку Enabled, щоб активувати сервер. Це дозволить маршрутизатору приймати вхідні VPN-з'єднання від клієнтів (наприклад, Teltonika).

mik3

Задайте параметри, як на зображенні:

  • Protocol: all

  • Max MTU / MRU: 1500

  • Keepalive Timeout: 30

  • Default Profile: default-encryption (можна створити свій профіль із пулом IP для VPN)

  • Authentication: mschap2, chap, pap (залишити відміченими)

Увімкніть IPsec

У полі Use IPsec виберіть yes, щоб тунель шифрувався за допомогою IPsec. У полі IPsec Secret введіть спільний пароль (PSK), який пізніше потрібно буде вказати і в налаштуваннях Teltonika.

Натисніть Apply та OK, щоб зберегти налаштування. Після цього MikroTik буде готовий приймати підключення від клієнтів по L2TP/IPsec.

Створення IP Pool для VPN-клієнтів

Перш ніж переходити до налаштування самого VPN-з'єднання, потрібно визначити пул IP-адрес, які видаватимуться клієнтам при підключенні. Це дозволить чітко розмежувати "локальний" сегмент мережі та адреси, зарезервовані для віддалених користувачів, що спростить маршрутизацію та діагностику в подальшому.

У нашому прикладі ми створимо окремий пул, наприклад PLC_NET, з діапазоном 10.10.10.2-10.10.10.100, який буде використовуватись сервером L2TP/IPsec.

Для цього відкриваємо у WinBox розділ IP Pool

mik4

та добавляємо новий пул адрес

mik5

вводимо назву та діапазон адрес

mik6

Створення PPP Profile

Після того як пул адрес створено, наступним кроком є налаштування PPP Profile - профілю, який визначає параметри з'єднання для всіх VPN-користувачів.

PPP-профіль у MikroTik - це шаблон, який описує, як саме працюватиме тунель після підключення клієнта. Саме через нього ми задаємо:

  • який IP pool використовуватиметься для видачі адрес клієнтам;

  • DNS-сервери, які отримуватиме клієнт;

  • маршрути або правила маршрутизації, що додаються автоматично після підключення;

  • а також обмеження швидкості чи скрипти, що виконуються під час підключення.

Іншими словами, PPP Profile - це "набір умов", які VPN-сервер застосовує до кожного користувача при встановленні тунелю.

Відкриваємо вікно PPP, далі вкладку Profiles та додаємо новий профіль.

mik7

У властивостях профілю виставляємо наступні параметри

mik8

Що таке local-address та remote-address і чому це важливо ?

Коли клієнт підключається до VPN-сервера, між ними створюється віртуальний тунель, який поводиться як звичайне мережеве з'єднання. Щоб цей тунель "працював як мережа", обидві сторони повинні мати IP-адреси - одна на боці сервера, інша на боці клієнта. Саме для цього в MikroTik у профілі PPP є два ключових параметри:

  • local-address - це адреса, яку використовує VPN-сервер (у нашому випадку - сам MikroTik). Вона є "точкою входу" в тунель зі сторони сервера. Наприклад, якщо вказати local-address=10.10.10.1, то саме цей IP бачитиме клієнт як свого шлюзу.

  • remote-address - це адреса, яку отримує VPN-клієнт після успішного підключення. Її можна задати статично (одну конкретну адресу) або через пул (IP pool), щоб кожен користувач отримував унікальний IP, наприклад 10.10.10.2, 10.10.10.3 і так далі.

Ці параметри важливі з кількох причин:

  1. Правильна маршрутизація. Без чітко заданих адрес маршрути не знатимуть, куди надсилати пакети усередині VPN-тунелю.

  2. Унікальність клієнтів. Якщо кілька клієнтів матимуть однакову адресу - виникатимуть конфлікти й тунель просто не працюватиме.

  3. Безпека. Використання окремого підмережевого простору для VPN дозволяє легко контролювати доступ клієнтів до внутрішніх мереж і журналювати їхню активність.

Створення PPP Secret (користувача VPN)

Після того, як створено PPP Profile, потрібно додати користувача VPN, який матиме логін і пароль для підключення. У MikroTik це робиться через створення PPP Secret - запису, що визначає облікові дані та параметри з'єднання.

Як створити PPP Secret

  1. Відкрий вкладку PPP у меню зліва (як на попередньому скріншоті).

  2. Перейдіть до вкладки Secrets.

  3. Натисніть "+" для створення нового запису.

mik9

Заповніть основні поля, такі як імя користувача(login), пароль, тип профілю та віддалений IP адрес(адрес який отримає клієнт при підключенні до VPN сервера).

mik10

У полі Remote Address ти задаєш IP-адресу, яку отримає VPN-клієнт після підключення. Це дуже важливий момент, бо від цієї адреси залежить, як саме роутер визначатиме маршрут до мережі клієнта і навпаки.

У результаті при підключенні утворюється логічний тунель між 10.10.10.1 і 10.10.10.2

Додавання маршруту

Після того, як VPN-сервер і клієнт обмінялися адресами (10.10.10.1 і 10.10.10.2), потрібно пояснити MikroTik, через який шлюз він має дістатися мережі клієнта. Для цього створюється статичний маршрут:

mik11

mik12

mik13

  • Dst. Address - це мережа, розташована на стороні VPN-клієнта (у нашому випадку - це локальна мережа, до якої підключено контролер PLC, наприклад, CPU 1515-2 PN).

  • Gateway - це адреса клієнта у VPN-тунелі, тобто 10.10.10.2, яку ми задали раніше у полі Remote Address в PPP Secret.

Таким чином, MikroTik розуміє: Щоб дістатися пристроїв із мережі 192.168.100.0/24, треба відправити пакети через тунель на адресу 10.10.10.2.

На цьому етапі налаштування MikroTik завершено. Ми створили IP pool, профіль PPP, користувача VPN та додали необхідний маршрут до віддаленої мережі.

Усі описані вище дії цілком можна було б об'єднати в один короткий скрипт і виконати за кілька секунд, однак у цій статті я свідомо робив усе через графічний інтерфейс WinBox. Це дозволяє навіть тим користувачам, які не мають великого досвіду роботи з MikroTik, краще зрозуміти логіку та послідовність налаштувань, а не просто копіювати готові команди.

У наступному розділі перейдемо до налаштування VPN-клієнта на стороні Teltonika RUT200.

Налаштування Teltonika

Локальна мережа (LAN) на Teltonika RUT200

Перш ніж створювати VPN-підключення, потрібно переконатися, що локальна мережа маршрутизатора Teltonika має правильний IP-діапазон. У нашій схемі ми використовуємо діапазон 192.168.100.0/24, тому зробимо відповідні зміни.

  1. Перейдіть у веб-інтерфейсі: Network → LAN.

  2. У полі IP Address задайте адресу, наприклад:192.168.100.1

  3. У полі Netmask залиште стандартну маску: 255.255.255.0

  4. За потреби перевірте, щоб DHCP Server був увімкнений - це дозволить автоматично роздавати адреси пристроям у діапазоні, наприклад: From: 192.168.100.10 To: 192.168.100.50

  5. Натисніть Save & Apply, після чого маршрутизатор перезапустить LAN-інтерфейс

tel00

tel01

після зміни IP-адреси веб-інтерфейсу вам потрібно буде повторно підключитися до нього вже за новою адресою - 192.168.100.1.

Тепер Teltonika готова до налаштування VPN-клієнта. У наступному кроці створимо L2TP-з'єднання до MikroTik і перевіримо, що тунель встановлюється успішно.

VPN-клієнт

Переходимо до налаштування пристрою Teltonika RUT200, який у нашій схемі виступає VPN-клієнтом, що підключатиметься до MikroTik-сервера.

  • Відкрийте веб-інтерфейс Teltonika.

    Для цього у браузері введіть IP-адресу маршрутизатора (за замовчуванням - 192.168.1.1) і увійдіть під своїми обліковими даними.

  • Перейдіть до розділу:

    Services → VPN → L2TP.

  • Створіть новий профіль підключення.

    У полі Configuration name введіть зрозумілу назву, наприклад office.

  • У полі Role оберіть значення Client (оскільки цей пристрій підключатиметься до сервера MikroTik).

  • Натисніть кнопку Add, щоб створити нову конфігурацію.

tel1

Після створення конфігурації (через Services → VPN → L2TP) відкриється сторінка з параметрами з'єднання. Тут потрібно вказати основні дані для підключення до нашого MikroTik-сервера.

  1. Server - введіть зовнішню (білу) IP-адресу MikroTik, яка використовується як VPN-сервер.Наприклад: xx.xx.xx.xx Це саме та адреса, про яку ми згадували у розділі "Перед тим як почати".

  2. Username - логін користувача, створеного в MikroTik у розділі PPP → Secrets. Наприклад: vpn_user

  3. Password - пароль цього користувача. Наприклад:securepass123

  4. CHAP Secret - додатковий параметр для автентифікації, який має збігатися з паролем, якщо він був указаний на стороні MikroTik.

  5. Use Default Route

tel2

Після заповнення полів натисніть Save & Apply, і маршрутизатор автоматично спробує встановити VPN-з'єднання з сервером.

te3

Connected означає, що тунель успішно встановлено, Teltonika отримала адресу з пулу (наприклад 10.10.10.2), і тепер пристрій є частиною спільної мережі з MikroTik.

Для впевненості можна відкрити вкладку System → Log і перевірити, чи немає повідомлень про помилки авторизації або проблем з тунелем. Якщо лог містить рядки на кшталт "L2TP connection established successfully", - усе працює як слід.

Додаткова перевірка на стороні MikroTik

Щоб переконатися, що VPN-тунель дійсно встановлено та клієнт успішно підключився, можна перевірити логи на стороні MikroTik.

Для цього відкрийте WinBox і перейдіть у меню: Log → або натисніть Log на панелі зліва.

У списку подій ви побачите записи на кшталт:

fin

Налаштування параметрів мережі на CPU Siemens S7-1515-2 PN

Після того як VPN-тунель між MikroTik і Teltonika RUT200 успішно встановлено, переходимо до налаштування мережевих параметрів контролера Siemens S7-1515-2 PN. Це дозволить забезпечити стабільний зв'язок між PLC і робочою станцією через віддалену VPN-мережу.

1. Відкриття апаратної конфігурації У TIA Portal відкрийте ваш проєкт і перейдіть до апаратної конфігурації (Devices & Networks). У списку пристроїв оберіть CPU 1515-2 PN, після чого перейдіть у вкладку Properties → Ethernet Addresses.

2. Встановлення IP-адреси У полі IP address задайте адресу з локальної мережі Teltonika (тобто тієї, що ми створили раніше - 192.168.100.0/24). Наприклад:

IP address: 192.168.100.10 Subnet mask: 255.255.255.0 Default gateway: 192.168.100.1

  • IP address - адреса вашого PLC у локальній мережі.

  • Subnet mask - стандартна для /24 мережі.

  • Default gateway - IP Teltonika RUT200 (його LAN-інтерфейс), через який відбувається вихід у VPN-тунель.

3. Завантаження налаштувань у контролер

Після збереження параметрів натисніть Download to device та виберіть відповідний PLC у списку знайдених пристроїв.

plc0

Перевірка з'єднання між офісним ПК та PLC через VPN

Після завершення налаштування всіх компонентів - MikroTik (VPN-сервер), Teltonika RUT200 (VPN-клієнт) і Siemens S7-1515-2 PN (PLC) - настав час переконатися, що зв'язок працює так, як задумано.

1. Перевірка тунелю VPN

Спочатку переконайтесь, що тунель між MikroTik і Teltonika активний:

  • На Teltonika у меню Status → VPN → L2TP має відображатися статус Connected.

  • На MikroTik у меню PPP → Active Connections має бути активний користувач (наприклад, vpn_user) із віддаленою адресою 10.10.10.2.

Це підтверджує, що тунель встановлено і маршрутизація можлива.

ch1

2. Перевірка доступності PLC через ping

На офісному комп'ютері, який знаходиться у внутрішній мережі MikroTik, відкрийте Командний рядок (CMD) і виконайте команду:

ping 192.168.100.10

ping plc

3. Перевірка зв'язку через TIA Portal

Далі відкрийте TIA Portal на офісному комп'ютері:

  • Перейдіть у вкладку OnlineGo Online,

  • Оберіть правильну мережеву карту (ту, що підключена до MikroTik),

  • Натисніть Detect або Go Online.

Search plc via VPN

Якщо VPN працює коректно, TIA Portal побачить контролер Siemens S7-1515-2 PN навіть через віддалений тунель. Ви зможете моніторити змінні, завантажувати або оновлювати програму, як при локальному підключенні.

plc remote monitoring

Висновок

У цій статті ми крок за кроком налаштували віддалений доступ до PLC Siemens S7-1515-2 PN за допомогою VPN-з'єднання між MikroTik (сервером) та Teltonika RUT200 (клієнтом). Ми розглянули усі ключові етапи: - підготовку серверної сторони, - створення VPN-профілю та користувача, - налаштування маршрутизації, - конфігурацію Teltonika та локальної мережі, - і перевірку зв'язку з контролером через TIA Portal.

Результат - повністю прозоре з'єднання, через яке віддалений PLC виглядає так, ніби він підключений безпосередньо до вашої офісної мережі.

Гнучкість рішення

Варто зазначити, що описаний підхід не обмежується лише контролерами Siemens. Це універсальна схема, яка чудово підходить для будь-якого мережевого обладнання - незалежно від виробника. Через такий VPN-тунель можна отримати безпечний доступ до:

  • контролерів інших брендів (Allen-Bradley, Schneider, Omron, Wago тощо),

  • операторських панелей (HMI),

  • мережевих камер,

  • пристроїв збору даних або моніторингу.

Переваги VPN-доступу

  • Безпечне з'єднання з використанням шифрування.

  • Відсутність потреби у статичних маршрутах від кожного клієнта.

  • Можливість централізованого управління доступом.

  • Гнучке масштабування - можна додавати нові майданчики, просто створюючи нові VPN-клієнти.

Таким чином, VPN-зв'язок між MikroTik і Teltonika - це просте, стабільне та масштабоване рішення для організації віддаленого доступу до промислових мереж. Незалежно від того, чи це невелика система з одним PLC, чи розгалужена інфраструктура з десятками вузлів, принцип залишатиметься тим самим.

Коментарі

Додайте коментар...

Ім'я
E-mail (Не буде опублікований)
Ваш коментар
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Авторизація
Немаєте акаунта? Реєстрація
Забыли пароль?
E-mail
Введите e-mail Вашей учетной записи, чтобы получить пароль.
Введите корректно e-mail!
viber-chatЧат «А2М» в Viber telegram-chatЧат «А2М» в Telegram
Telegram QR
💬 Актуальні ціни
завжди під рукою