如何安全地与路由器后面的设备通信？

Question

网络小白在这里。

我想找到一种安全的方式与位于路由器 ( Teltonika RUT950 )后面的设备进行通信。路由器有固定的公网IP。连接到路由器的设备没有身份验证功能。本地网络中的任何人都可以与其通信（通过 Modbus TCP 协议）。

我希望能够从外部服务器安全地与设备通信（如果需要，服务器可以有一个专用 IP）。

我想到的最简单的选择是在路由器上设置端口转发，将源限制为外部服务器的 IP。但是我知道这个解决方案容易受到 IP 欺骗攻击。

我还有哪些其他选择来确保通信安全？

编辑 添加更多详细信息，因为实际问题更复杂，并且建议的解决方案涵盖了最初的简化场景：

总之，外部服务器需要查询多个设备，每个设备都在一个单独的路由器后面。服务器需要每隔几秒查询一次每个设备。大约有 50 台设备可供查询，并且该列表会随着时间的推移而增长。

Answer 1

实现您想要实现的目标的最安全方法是在本地网络中使用其他设备（例如 Raspberry PI），设置 VPN（例如使用 OpenVPN），然后将 VPN 客户端从远程计算机连接到运行在本地网络上的服务器。 PI。

通过此解决方案，您现在拥有需要身份验证的安全连接，因此，如果您知道在 VPN 服务器上注册的正确用户/密码组合，您将只能“进入 Teltonika 路由器后面的安全 LAN”。 PI。这样做意味着您不需要为远程计算机获取静态 IP 地址，并且欺骗连接几乎是不可能的。

关于此特定型号路由器的编辑：此型号已包含可配置的 OpenVPN 服务器。有了它，您可以节省使用 Raspberry PI 提出的解决方案的工作和金钱，并通过 VPN 直接连接到路由器。手册中有一个简短的解释，但是如果您查看路由器的网络管理面板，您很可能会很快找到 VPN 选项。我自己并不知道这个具体型号，但在大多数控制面板中，使用 VPN 进行远程访问的选项和端口转发的设置都属于同一类别。