Não importa se queremos aceder remotamente às nossas máquinas através do IP público do nosso cartão SIM ou através de uma ligação VPN. Em qualquer caso, para poder aceder a estes dispositivos através de um intervalo de IP diferente do seu, é necessário configurar nestes equipamentos o endereço IP do gateway que deve apontar para o endereço IP LAN do router Teltonika, de modo a encaminhar corretamente os pacotes de resposta para a Internet ou para o outro extremo do túnel VPN.
No entanto, existem dois casos em que isso não é possível:
Os equipamentos não têm o gateway configurado. Isto pode acontecer porque nunca foram configurados para acesso remoto e, portanto, o campo está vazio e não é possível deslocarmo-nos para configurar este parâmetro manualmente, ou porque são equipamentos antigos com funcionalidades de rede básicas e alguns nem sequer permitem configurar um gateway de saída.
Os equipamentos já têm um gateway configurado porque já se acede remotamente a eles através de outro router. Neste caso, uma interface de rede não pode ter dois gateways configurados para o mesmo endereço IP e, portanto, não é possível usar este parâmetro para encaminhar os pacotes de retorno recebidos do nosso router Teltonika.
Em ambos os casos, a solução é a mesma: substituir o endereço IP de origem do pacote entrante pela WAN (que é o endereço público da Internet ou o do extremo remoto da VPN) pelo endereço IP LAN local do router no pacote de saída da LAN do router para os equipamentos locais. Desta forma, o pacote passa a ser tratado como um pacote na LAN local e os equipamentos não precisam de enviar as respostas para o gateway, mas sim para o endereço IP de origem do pacote — ou seja, para o endereço IP LAN do router Teltonika. Este mecanismo denomina-se SNAT (Source Network Address Translation).
Existem dois tipos de NAT: DNAT ou Destination NAT e SNAT ou Source NAT. A seguir, descrevemos um exemplo de como configurá-los para ter acesso remoto a um dispositivo que dispõe de uma interface web na porta 80, à qual queremos aceder. Este dispositivo está no endereço 192.168.0.10 e não tem o gateway configurado. O nosso router Teltonika tem o IP LAN 192.168.0.1.
DNAT (Port Forwarding)
Este mecanismo, que às vezes chamamos de “abrir portas” ou “redirecionar portas”, consiste, como o nome indica, na substituição do endereço IP de destino (Destination NAT) dos pacotes que saem do router pela interface LAN, por um endereço concreto de uma máquina ou equipamento para o qual devemos enviar o pacote. Este endereço está associado a uma porta TCP/UDP do pacote de destino, o que nos permite redirecionar os pacotes entrantes no router — que chegam ao mesmo endereço de destino (o IP WAN do router) — para diferentes IPs de destino na LAN.
Exemplo: o tráfego Modbus TCP que circula pela porta 502 é redirecionado para o endereço LAN 192.168.1.10, enquanto o tráfego web na porta 8080 é redirecionado para um ecrã HMI no endereço LAN 192.168.1.20. No processo de DNAT também é possível substituir a porta TCP/UDP do pacote de saída. Por exemplo: se tivermos vários ecrãs HMI com o servidor web a escutar na porta 80, podemos aceder a um ou outro em função da porta utilizada para o pacote entrante (8080, 8081, …).
O mecanismo DNAT é necessário para encaminhar os pacotes entrantes pela WAN do router para o IP LAN do equipamento concreto ao qual queremos aceder. Contudo, este mecanismo não é suficiente, pois ao não modificar o endereço IP de origem do pacote, mantemos o IP WAN fora do intervalo LAN, o que obriga os equipamentos a usar o seu gateway para enviar os pacotes de resposta.
No nosso exemplo, devemos criar uma nova entrada no menu FIREWALL – PORT FORWARDS. Como a porta 80 está reservada para o acesso remoto ao servidor web do próprio router, utilizaremos a porta 8080. A seguinte regra indica que qualquer pacote que o router receba na sua interface WAN para a porta 8080 deve ser redirecionado para o endereço IP 192.168.0.10 na porta 80. Com isto garantimos que os pacotes chegam ao servidor web deste dispositivo.
Entrada DNAT em Port Forwards
É possível editar a regra se quisermos modificar algum parâmetro. Normalmente não será necessário, exceto se estivermos a usar uma ligação VPN para o acesso remoto — nesse caso, teremos de alterar a Source zone e configurar openvpn em vez de wan.
Edição da regra DNAT
SNAT
Como referido anteriormente, com este mecanismo substituímos o endereço IP de origem dos pacotes que chegam ao router através da sua interface WAN pelo IP LAN do router. Desta forma, quando o pacote chegar ao nosso equipamento, a resposta irá diretamente de volta para a LAN do router e não para o gateway que esteja ou não definido.
Para isso, vamos ao menu FIREWALL – NAT RULES e criamos uma nova regra SNAT com os seguintes parâmetros:
NAME: atribuímos um nome indicativo (não tem relevância)
SOURCE ZONE: é a zona de origem dos pacotes. Tipicamente wan se temos um IP público e acessível, ou openvpn se acedemos ao router através de uma VPN RMS
DESTINATION ZONE: é a zona de destino dos pacotes. Colocaremos lan
TO SOURCE IP: é o endereço IP de origem que será inserido nos pacotes. Portanto, é o IP LAN do router
TO SOURCE PORT: se quisermos alterar a porta de origem nos pacotes, podemos fazê-lo através deste campo. O habitual é deixá-lo em branco, de forma que a regra apenas modifique o endereço IP de origem do pacote, mas não a porta de origem
Regra SNAT para substituir o IP de origem pelo LAN do router 192.168.0.1
Em versões de FW anteriores à 7.3 é necessário fazer algumas alterações manuais mediante comandos SSH na configuração da regra do firewall, uma vez que a interface web obriga a configurar por defeito um IP de origem e um IP de destino dos pacotes, fixando-os ao IP LAN do router.
Para isso, teremos de iniciar uma sessão SSH no router (na interface LAN ou na WAN se tiver sido habilitado o acesso remoto SSH). O utilizador é root e a palavra-passe é a mesma de acesso ao servidor web do router.
De seguida, iremos ao menu /etc/config. Se mostrarmos no ecrã a configuração do firewall com o comando cat firewall, veremos que a última entrada criada em SNAT é algo como:
config redirect
option src ‘wan’
option name ‘SNAT1’
option target ‘SNAT’
option src_dip ‘192.168.0.1’
option proto ‘all’
option utc_time ‘0’
option dest ‘lan’
option src_ip ‘192.168.0.1’
option dest_ip ‘192.168.0.1’
Devemos eliminar as duas últimas linhas (option src_ip ‘192.168.0.1’ e option dest_ip ‘192.168.0.1’). Para isso, podemos usar o comando vi firewall e mover o cursor até essas duas últimas linhas. Pressionando x repetidamente, iremos eliminando os caracteres um a um. Depois de eliminar ambas as linhas, pressionamos ESC para passar ao modo de comandos e, em seguida, :w para guardar as alterações. Finalmente, :q para sair do editor vi.
Voltaremos ao diretório raiz escrevendo cd .. várias vezes e, por fim, introduziremos o comando /etc/init.d/firewall reload para recarregar a configuração do firewall após as nossas modificações.
Na figura seguinte podemos ver como estamos a aceder ao servidor web do nosso equipamento em 192.168.0.10 (equipamento Moxa NPort5110) através da porta 8080 no IP WAN 192.168.1.3 (interface RJ45 do router), quando não temos nenhum gateway configurado (campo em branco).
A mesma configuração seria necessária para o caso em que já existisse um router no endereço 192.168.0.2, por exemplo, e o equipamento tivesse o gateway apontando para esse endereço. Através de SNAT, poderíamos criar um segundo acesso remoto ao equipamento através do nosso router Teltonika.