Foto: Andreas Delleske

Der Linux-basierte Modem-Router-Switch Moros ermöglicht den Zugriff auf Steuerungsanlagen der Industrie. Dank OpenVPN gelingt das völlig transparent, auf Wunsch auch redundant über mehrere GSM-Netze .

Moros, seines Zeichens Gott des Verhängnisses und des Untergangs, stammt aus einer stattlichen Familie. Zu seinen Geschwister zählen Thanatos, der Tod selbst, Ker, die Göttin des Verderbens und des Todes, Charon, der Fährmann zur Unterwelt, die Göttin der Zwietracht und des Streits Eris und die Rachegöttin Nemesis. Vor der Mutter dieser illustren Sippe, der Göttin der Nacht Nyx, soll sogar Zeus selbst Angst gehabt haben. Allerdings hat diese antike Addams Family bei der Moros-Taufe nicht Pate gestanden, die griechische Mythologie sorgte erst nach der Namensgebung für eine gewisse Heiterkeit beim Hersteller Insys [1] aus Regensburg.

Modem-Router-Switch

Tatsächlich steht der Name des auf freier Software laufenden, nur 7 mal 10 mal 7 Zentimeter kleinen Geräts (Abbildung 1) für die Kombination Modem-Router-Switch, kurz Moros. Der Hardwarehersteller Insys hat sich schon seit Jahren auf Modems spezialisiert und seine Platinen in zahlreichen Marken- und No-Name-Modems verbaut. Als die Entwickler schließlich Linux, einen ARM9-basierten Router, einen Ethernet-Switch, ein Modem und diverse Schnittstellen wie ISDN, GPRS und serielle kombinierten, entstand der Name.

Abbildung 1: Mini-Router für den Industrie-Einsatz: Auf nur sieben mal sieben Zentimetern sind neun Anschlüsse untergebracht. Fünf LAN-Ports des Switch, zwei SIM-Karten samt Antenne und die obligatorische serielle Schnittstelle.

Die Platinen entwirft und baut der Hersteller selbst, typischer Käufer der kleinen Geräte ist aber nicht der Endkunde, sondern die Industrie. Schon der Stromanschluss und die Halterungen auf der Rückseite deuten auf den Einbauort: die DIN-Hutschiene im Schaltschrank der Industrieanlage. Auch der Preis von bis zu 1000 Euro lässt ahnen, dass es nicht um ein Schnäppchen für zu Hause geht.

Für den Extremeinsatz

Für das Geld gibt es Hardware ohne mechanische Bauteile und Lüftungsschlitze, für deren Funktionstüchtigkeit auch unter extremen Bedingungen der Hersteller garantiert, zum Beispiel bei Temperaturen von -20 bis +55 Grad, im Freien oder unter extremer Strahlenbelastung. Lebenslange Austauschgarantie inklusive Vorortservice gehört in dieser Preisklasse selbstverständlich dazu.

In der Fabrikhalle stöpselt der Techniker die lokalen Maschinen meist am seriellen Anschluss von Moros im Schaltschrank an. Modernere, IP-fähige Geräte klinkt er in die LAN-Ports des Switch ein. Dann greift er übers Internet von seinem Rechner in der Zentrale aus auf serielle Interfaces, Video-Überwachung über Webcams, Datenlogger oder andere Schnittstellen der Anlagen in der Produktion zu.

Je nach Ausstattung dienen als Uplink zum Internet ein Modem, ISDN oder wie beim Topmodell Moros mobile ein oder zwei GSM-Karten. Über die obligatorische Weboberfläche konfiguriert der Benutzer sowohl LAN als auch Internetzugang. Auch WLAN wäre möglich, kommt aber in der Realität in Produktionsstätten nicht vor. Dort fällt den Entscheidern der Sprung von der vertrauten alltäglichen Technologie Modem (Telefon) direkt zu UMTS (Handy) leichter als der komplexe und planungsintensive Aufbau von WLAN-Strukturen.

Zentrale Rolle für OpenVPN

Die Managementsoftware (Abbildung 2) ist leider proprietär, wie bei fast allen Konkurrenten auch. Das betrifft allerdings ausschließlich das Webinterface, alles andere ist komplett freie Standardsoftware, von Skripten konfiguriert. Die Firmware umfasst OpenVPN, eine Firewall sowie einige Serverdienste und unterstützt redundante Modems und fortgeschrittene Features wie das Spiegeln des zu managenden Switch. Eine zentrale Rolle nimmt im Konzept die VPN-Software ein [2]. Auf Wunsch verbaut der Hersteller auch IPsec-Unterstützung, aber die Flexibilität von OpenVPN lässt sich damit nur schwer erreichen.

Abbildung 2: Die Konfiguration des OpenVPN-Clients im Moros-Web-GUI erlaubt auch das Einbinden von Zertifikaten und statischen Keys. Hinter den blauen Pfeilen verbergen sich weitere nützliche Links.

Ein Admin hat viele Möglichkeiten, sich per Remote-Verbindung zu dem Gerät zu verbinden. Die Konfigurationsoberfläche der Firmware beherrscht Dial-in, Dial-out und Callback. Egal wofür er sich entscheidet, die Kommunikation mit den Maschinen und Schnittstellen dahinter wickelt Moros immer durch den OpenVPN-Tunnel ab.

Typischer Einsatzort ist ein Unternehmen mit mehreren Standorten, bei denen der Admin von einer Zentrale aus die Produktion steuert. Durch OpenVPN-Tunnel kommuniziert er über den oder die Moros-Router direkt mit den angeschlossenen Maschinen und korrigiert so zum Beispiel den Vorschub der CNC-Fräse.

Open Source trifft die Bedürfnisse der Industrie

Damit die Verbindung sicher zustande kommt, kann der Admin den Internetzugang redundant auslegen (Abbildung 3). OpenVPN sorgt dabei dafür, dass die Gegenstelle immer unter der gleichen IP erreichbar ist. Damit ist es sowohl für den Admin als auch zum Beispiel für die CAD-Fräse unerheblich, ob Moros die Verbindung über Modem, ISDN, GSM-Karte 1 oder 2 oder über LAN hergestellt hat – die Gegenstellen sind dank Masquerading immer VPN-Partner.

Abbildung 3: Ein Modem und zwei UMTS-Karten im Moros sorgen für eine dreifach redundante Internetanbindung. Dem Admin kann es egal sein, welche davon der Router gerade verwendet, weil er dank OpenVPN immer mit den gleichen IPs am anderen Produktionsstandort kommuniziert.

“OpenVPN erfüllt die Erwartungen der Industrie. Es ist sicher, offen, transparent, überprüfbar und flexibel”, so Werner Eberle von Insys. “OpenVPN und auch die Embedded-Linux-Varianten haben sich in den letzten Jahren weit über das Bastlerimage hinaus entwickelt und sind gerade in der Industrie sehr angesehen.”

Das Konzept ist bekannt und hat sich im Embedded-Bereich seit Jahren bewährt: Einfache Black Boxes stellen einen idealen Hebel dar, um mit freier Software in Unternehmen Fuß zu fassen und Geld zu verdienen. Die Grenze der Funktionalität ist durch die Konfigurierbarkeit der Web-GUIs vorgegeben. Deren Komplexität wächst dementsprechend ständig.

Die einfachsten Insys-Geräte (nach den Modems) waren nur eine Art Schlüsselschalter, der auf Anruf von einer bestimmten Nummer eine Aktion ausführte. Heute konfiguriert der Admin das Linux-System per Mausklick in wenigen Minuten so, dass er immer sicher eine Verbindung in den Produktionsstandort hat, wenn er sie braucht. Mit den zwei GSM-Modems des Moros mobile klappt das auch noch in dem Fall, dass gerade ein Erdbeben das Festnetz zerstört hat und das Mobilfunknetz deswegen an Überlastung zusammenbricht.

Nur noch Web-GUIs

Allerdings hat das Geschäftsmodell auch einen Haken für den freiheitsliebenden Anwender: Die Hardware ist verplombt, beim Brechen des Siegels erlischt die Garantie. Das Gleiche gilt, wenn der Kunde sich Zugriff per SSH verschafft und eigenhändig im Linux-System Einstellungen in Konfigurationsdateien vornimmt. Die Bastler aus der Open- oder FreeWRT-Ecke gehören eben nicht zum typischen Kundenkreis. So bleibt nur die Weboberfläche (Online-Demo unter [3]) für die Konfiguration.

VPN, UMTS und Dial-out

Gleich nach der Anmeldung kann der Admin zwischen »Basic Settings«, »UMTS«, »Dial-In«, »Dial-Out«, »Ein/Ausgänge«, »Switch«, »Serverdienste« und »Systemeinstellungen« wählen. Die Startseite zeigt auf einen Blick, wie Moros gerade online ist, bei Funkverbindungen samt Signalstärke und Provider.

Im Bereich »UMTS« trägt der Admin die PIN seiner beiden GSM-Karten ein und vergibt die Prioritäten, nach denen sich Moros wann in welches Netz einbuchen soll. Etwas überraschend finden sich die OpenVPN-Einstellungen in den Bereichen »Dial-In« und »Dial-Out« neben Unterpunkten wie »Routing«, »Firewall« und »Wählfilter« und »Portforwarding«. Die Logik ist simpel: Der Moros kann als VPN-Server und -Client agieren, bei Ersterem wählen sich die Clients ein, während er selbst im zweiten Szenario die Verbindung aufbaut.

Die Seiten mit der OpenVPN-Konfiguration sind übersichtlich und können sich mit den GUIs der freien Tools wie Webmin [4] durchaus messen. Von Status und Log über die Authentifizierung durch Zertifikate oder statische Schlüssel bis zur Beispiel-Konfigurationsdatei für die Gegenseite ist auf den ersten Blick alles dabei, was der VPN-Admin braucht.

Im Test dauerte es damit keine fünf Minuten und nur wenige Mausklicks, bis über GSM/UMTS der OpenVPN-Tunnel zum Testserver aufgebaut war. Im Problemfall findet der Admin unter »Systemeinstellungen« auch kleinere Tools wie Ping.

Neben den wichtigsten Diensten, Routing und VPN beherrscht Moros noch DNS, DynDNS sowie DHCP und bringt einen eigenen Webproxy mit. Allerdings ist der für den Einsatzort im Unternehmen eher die Ausnahme, typischer sind klassische Seriell-Ethernet-Gateways.

Serielle Ethernet-Gateways

In vielen Firmen stehen Maschinen, die nur über RS323-Schnittstellen (EIA-RS-232, [5]) konfigurierbar sind. Dementsprechend beschränken sich einige der günstigeren Modelle von Insys auch auf diese Funktion, die sie mit Uplinks in Form von Modem, ISDN oder Ethernet kombinieren.

Der Moros mobile hat bei bestehender Internetverbindung laut Hersteller eine Leistung von etwa 5 Watt, unterstützt die üblichen UMTS/HSDPA bis 384 KByte/s Upstream und 3,6 MByte/s Downstream und hat je nach Ausstattungsvariante von Haus aus zwischen sieben und zwölf Hardware-Watchdogs eingebaut.

Blaue Pfeilchen

Der kleine UMTS-VPN-Router ist leicht zu konfigurieren und gefällt durch das durchdachte OpenVPN-Konzept. Im Web-GUI stören nur die blauen Pfeilchen, die auf oft wichtige oder zumindest hilfreiche Informationen auf weiterführenden Seiten hinweisen, die aber die Tester des Linux-Magazins nicht auf Anhieb als Links erkannten.

Eine andere Dimension ist dagegen der Preis: Einfache Geräte wie den Moros Modem oder den Moros LAN gibt es auch schon ab 100 Euro. Die Obergrenze für den Moros mobile liegt dann bei knapp 1000 Euro, wobei der Hersteller von einer Lebensdauer von zehn bis zwölf Jahren ausgeht.