INDICE
1. INTRODUZIONE 3
2. Configurazione VPN 4
3. Aggiornamento via miniserver (da bootloader) 8
4. SNMP 10
5. MQTT 12
6. TELEGRAM (non ancora implementato) 15
1. INTRODUZIONE
Il router El-Connect è un router industriale avanzato progettato per offrire connettività 4G e 5G ad alte prestazioni in ambienti critici. Questo dispositivo si distingue per la sua robustezza, versatilità e capacità di operare in condizioni estreme, rendendolo ideale per applicazioni M2M (Machine-to-Machine), IoT (Internet of Things), reti aziendali e sistemi di automazione industriale.
Grazie al supporto per reti 5G e 4G LTE, il router El-Connect garantisce una connessione stabile e veloce, consentendo la trasmissione di dati in tempo reale con bassa latenza. È dotato di porte Ethernet, connettività Wi-Fi e un’ampia gamma di interfacce tra cui RS232, RS485 e USB, che lo rendono perfettamente compatibile con molteplici scenari d’uso.
Il router supporta funzionalità avanzate di rete, tra cui VPN (WireGuard, OpenVPN, IPSec, GRE, PPTP, L2TP), firewall integrato, VLAN, gestione remota TR-069 e IP Passthrough, garantendo sicurezza, scalabilità e flessibilità. L’installazione è semplificata dalla presenza di doppio slot SIM, permettendo il failover automatico per una connettività ininterrotta.
Grazie alla sua robustezza industriale e alle opzioni di alimentazione flessibili (7.5-32V DC), il router El-Connect rappresenta una soluzione affidabile per aziende che necessitano di connettività remota sicura e performante.
2. Configurazione OpenVPN Client
Questa sezione contiene la configurazione di un client OpenVPN per il router della famiglia EL-Connect. Analizziamo in dettaglio le operazioni svolte in base ai parametri presenti nella configurazione.
il campo Custom configuration deve essere valorizzato in questo modo:
key-direction 1
<tls-auth>
#
# 2048 bit OpenVPN static key
#
-----BEGIN OpenVPN Static key V1-----
b896d20d63def269c13572b5c6a9ba19
cedbb98a158cc34cbc8666f4c778c007
…… 698af
-----END OpenVPN Static key V1-----
</tls-auth>
Configurazione della chiave statica di autenticazione (TLS-Auth)
Uno degli elementi chiave della configurazione è l’uso di una chiave statica a 2048 bit per l’autenticazione TLS. Questa chiave è contenuta all’interno dei tag <tls-auth> e viene utilizzata per garantire la sicurezza del tunnel OpenVPN e proteggere contro attacchi DoS o tentativi di connessione non autorizzati.
Il parametro key-direction 1 indica la direzione della chiave per l'autenticazione TLS, che deve corrispondere a quella configurata sul server.
Il certificato della chiave è contenuto nella sezione BEGIN/END OpenVPN Static Key V1 ed è una chiave simmetrica condivisa tra client e server.
Scopo della configurazione
La configurazione presente nel documento suggerisce che il dispositivo WL-R210 è configurato per connettersi a un server OpenVPN utilizzando un modello di autenticazione basato su chiave precondivisa. Questo metodo è comunemente utilizzato per stabilire connessioni VPN sicure tra dispositivi remoti e server aziendali.
Funzionamento della connessione VPN
L'operazione della connessione avviene attraverso i seguenti passaggi:
Il client OpenVPN avvia la connessione al server VPN.
La chiave statica viene utilizzata per autenticare il client e stabilire un canale TLS sicuro.
Se la chiave corrisponde a quella sul server, il client viene autorizzato a trasmettere traffico attraverso il tunnel VPN.
Una volta stabilita la connessione, tutto il traffico di rete viene instradato attraverso il tunnel crittografato.
Possibili utilizzi e scenari di applicazione
Questa configurazione è tipicamente utilizzata in scenari in cui è necessario connettere dispositivi industriali remoti o router embedded a una rete aziendale sicura. Alcuni possibili usi includono:
Telemetria e monitoraggio remoto: Il router EL-Connect può essere installato su macchinari o impianti remoti e trasmettere dati attraverso la VPN.
Accesso sicuro a risorse aziendali: La connessione VPN consente al router di accedere a server, database o altre risorse di rete interne.
3. Aggiornamento via miniserver (da bootloader)
L'aggiornamento del firmware su dispositivi di rete industriali come i router EL4G-Connect ed EL5G-Connect è una procedura che richiede una sequenza precisa di operazioni per garantire un aggiornamento sicuro ed efficace. Entrambi i dispositivi offrono un meccanismo di accesso alla pagina di boot, che consente di caricare una release speciale del firmware, utile per aggiornamenti critici, ripristini o installazione di versioni personalizzate.
Fasi della procedura di accesso alla pagina di boot
Per accedere alla pagina di boot e avviare il processo di aggiornamento, è necessario seguire questi passaggi:
Spegnimento del router Prima di iniziare la procedura, assicurarsi che il dispositivo sia spento, scollegandolo dall’alimentazione.
Collegare il cavo LAN e premere e tenere premuto il pulsante "Reset" Una volta spento il router, individuare il pulsante Reset mantenendolo premuto. Collegare il cavo LAN sulla porta LAN1 per EL4G_Connect e sulla porta LAN0 per EL5G_Connect
Accensione del router con il pulsante "Reset" premuto Collegare nuovamente l’alimentazione al router mentre il pulsante "Reset" è ancora premuto. Questa operazione avvia il router in modalità di recupero o boot mode,
bypassando il normale avvio del firmware.
Attendere il tempo necessario e rilasciare il pulsante "Reset"
Per il router EL4G-Connect, il pulsante deve essere mantenuto premuto per 9 secondi.
Per il router EL5G-Connect, invece, il tempo necessario è leggermente superiore, pari a 13 secondi. Una volta trascorso il tempo indicato, rilasciare il pulsante "Reset".
Dopo aver rilasciato il pulsante, il router entrerà in modalità di boot, rendendo disponibile una pagina di configurazione accessibile tramite browser all’indirizzo 192.168.1.1. Da questa interfaccia:
sarà possibile caricare il nuovo firmware, avviare un ripristino o eseguire altre operazioni avanzate di manutenzione.
4. SNMP
Il Simple Network Management Protocol (SNMP) è un protocollo utilizzato per monitorare e gestire dispositivi di rete, consentendo la raccolta di informazioni e la configurazione remota degli stessi. Una volta installato, è possibile configurare l'SNMP accedendo alla sezione dedicata nell'interfaccia web.
Enable SNMP – Permette di attivare o disattivare il servizio SNMP sul router. Se abilitato, il router può essere monitorato da un software SNMP esterno.
Port – Indica la porta utilizzata dal servizio SNMP per la comunicazione. Il valore predefinito è 161, che è lo standard per SNMP.
Remote Access – Se abilitato, consente l'accesso SNMP al router da indirizzi IP remoti, permettendo il monitoraggio e la gestione da postazioni non locali.
Allowed Remote IP Address – Specifica gli indirizzi IP autorizzati ad accedere al servizio SNMP. È possibile inserire indirizzi singoli (es. 1.1.1.1), subnet (1.1.1.0/24) o range di IP (1.1.1.1 - 2.2.2.2).
System Name – Indica il nome del dispositivo all'interno della rete SNMP, utile per l'identificazione in infrastrutture con più dispositivi.
Location – Campo per specificare la posizione fisica del dispositivo, utile in ambienti con molte apparecchiature.
Contact – Permette di inserire un contatto amministrativo, ad esempio un indirizzo e-mail o un riferimento per l’assistenza.
RO Community (Read-Only Community) – Definisce la comunità SNMP con permessi di sola lettura. Gli utenti appartenenti a questa comunità possono visualizzare i dati SNMP ma non modificarli.
RW Community (Read-Write Community) – Definisce la comunità SNMP con permessi di lettura e scrittura, consentendo agli utenti autorizzati di apportare modifiche alla configurazione del router.
SNMPv3 Authentication Type – Specifica il metodo di autenticazione per SNMPv3 (se abilitato). Le opzioni più comuni sono SHA o MD5, che garantiscono un livello di sicurezza più elevato rispetto alle versioni precedenti di SNMP.
SNMPv3 Privacy Type – Indica il tipo di crittografia utilizzato per la protezione dei dati SNMPv3. Le opzioni più comuni sono NONE (nessuna crittografia) oppure DES/AES per la protezione dei dati trasmessi.
SNMPv3 è consigliato perché offre maggiore sicurezza grazie alla crittografia e l'autenticazione avanzata.
Limitare gli indirizzi IP remoti può prevenire accessi non autorizzati. Evitare di usare community SNMP con nomi predefiniti (es. "public" per RO e "private" per RW), poiché sono facilmente individuabili dagli attaccanti.
5. MQTT
MQTT (Message Queuing Telemetry Transport) è un protocollo di messaggistica leggero progettato per ambienti con connessioni di rete instabili o con larghezza di banda limitata. È comunemente utilizzato in scenari IoT (Internet of Things) per la comunicazione tra dispositivi e server tramite un modello pub/sub (publish/subscribe).
Il protocollo si basa su un broker MQTT che funge da intermediario per la trasmissione dei messaggi tra i dispositivi. Un client MQTT può pubblicare messaggi su un topic e iscriversi a determinati topic per ricevere messaggi.
L'interfaccia di configurazione MQTT permette di impostare i parametri necessari per abilitare la comunicazione tra il router e un broker MQTT.
IoT Enabled
Attiva o disattiva la comunicazione MQTT. Se abilitato, il router può inviare messaggi al broker MQTT.
Company Name
Nome dell'azienda che viene utilizzato come parte del topic MQTT per identificare il dispositivo.
Router ID
Identificativo univoco del router, incluso nel topic MQTT per distinguere i messaggi provenienti da diversi dispositivi
IoT Hostname
Indirizzo del broker MQTT a cui il router deve connettersi. Può essere un nome di dominio (es. mqtt.broker.com) o un indirizzo IP.
IoT Port
Porta di comunicazione con il broker MQTT. Il valore predefinito è 1883 per connessioni non crittografate e 8883 per connessioni SSL/TLS.
IoT Client ID
Identificativo del client MQTT per la connessione al broker. Deve essere univoco per evitare conflitti con altri dispositivi.
IoT Username
Nome utente per l'autenticazione presso il broker MQTT (se richiesto).
IoT Password
Password per l'autenticazione presso il broker MQTT (se richiesto).
IoT Interval
Intervallo di pubblicazione dei messaggi MQTT in secondi. Questo parametro determina la frequenza con cui il router invia dati al broker.
SSL Enabled
Abilita la connessione sicura tramite SSL/TLS. Se attivato, il router utilizzerà 8883 come porta standard per una comunicazione crittografata.
Il topic MQTT utilizzato dal router per pubblicare i dati segue la seguente struttura:
ROUTER/company_name//router_id
Dove:
ROUTER è una stringa fissa del topic
company_name è il nome dell'azienda configurato nel campo Company Name.
router_id è l'identificativo del router configurato nel campo Router ID (ad esempio identifica la targa del mezzo).
Esempio di Topic Pubblicato
Se un router è configurato con:
Company Name: ASMTAORMINA
Router ID: AMTS_GN111XX
Un messaggio MQTT potrebbe essere pubblicato su:
/ROUTER/ASMTAORMINA/AMTS_GN111XX
6. TELEGRAM (non ancora implementato)
Telegram è una piattaforma di messaggistica istantanea basata su cloud che offre un'API aperta per l'invio e la ricezione di messaggi attraverso bot. I bot Telegram sono account automatizzati gestiti tramite richieste HTTP all'API di Telegram, permettendo di eseguire operazioni come l'invio di notifiche, il recupero di messaggi e la gestione di utenti.
La pagina web per inviare messaggi a un bot Telegram includere i seguenti parametri:
enable
Flag per abilitare/disabilitare l'invio del messaggio (valori: true/false).
token
Il token API del bot Telegram.
message
Il messaggio da inviare alla chat selezionata.
chatbot
L'ID della chat o del gruppo a cui inviare il messaggio.
Funzionamento della Pagina Web
L'utente compila il modulo con i parametri richiesti. Il server elabora i dati e invia una richiesta HTTP all'API di Telegram. Il bot invia il messaggio alla chat indicata.
Elmec Elettronica Srl
via Scarlatti, 5
20090 Trezzano s/N (MI)
