这里是网络菜鸟。
我想找到一种安全的方式来与位于路由器后面的设备进行通信(Teltonika RUT950路由器有固定公网IP,连接路由器的设备没有认证功能,本地网络内任何人都可以和路由器通信(通过Modbus TCP协议)。
我希望能够从外部服务器安全地与设备通信(如果需要,服务器可以有专用 IP)。
我想到最简单的选择是在路由器上设置端口转发,将源限制为外部服务器的 IP。但是我知道这个解决方案容易受到 IP 欺骗攻击。
我还有哪些其他选择来确保通信安全?
编辑 由于实际问题更加复杂,并且提出的解决方案涵盖了原始简化场景,因此需要添加更多细节:
总之,外部服务器需要查询多个设备,每个设备都位于单独的路由器后面。服务器需要每隔几秒钟查询一次每个设备。大约有 50 个设备需要查询,并且列表会随着时间的推移而增长。
答案1
实现目标的最安全方法是使用本地网络中的另一台设备(例如 Raspberry PI),设置 vpn(例如使用 OpenVPN),然后将远程计算机的 VPN 客户端连接到 PI 上正在运行的服务器。
使用此解决方案,您现在拥有一个需要身份验证的安全连接,因此,只有当您知道在 PI 上的 VPN 服务器中注册的正确用户/密码组合时,您才能够“进入 Teltonika 路由器后面的安全 LAN”。这样做意味着您不需要为远程计算机获取静态 IP 地址,并且欺骗连接几乎是不可能的。
关于此特定型号的路由器的编辑:此型号已包含可配置的 OpenVPN 服务器。有了它,您可以节省使用 Raspberry PI 提出的解决方案的工作和金钱,并通过 VPN 直接连接到路由器。在手动的有一个简短的解释,但如果你浏览路由器的 Web 管理面板,你很可能很快就会找到 VPN 选项。我自己不知道这个特定的型号,但在大多数控制面板中,使用 VPN 进行远程访问的选项和端口转发的设置属于同一类别。