VPN Site Gateway

Klient spravuje systémy vytápění, ventilace a klimatizace na stavbách po celé ČR. Každá změna konfigurace nebo diagnostika vyžadovala fyzickou návštěvu staveniště — hodiny cestování, koordinace s dalšími řemeslníky a nemožnost reagovat na problémy v reálném čase.

BACnet/IP protokol, který řídí HVAC zařízení, není navržen pro přístup přes internet. Používá broadcasty, které neprojdou přes běžný NAT. Klasická VPN řešení na tomto protokolu selhávají a žádný hotový produkt na trhu tento problém neřešil.

• Fyzické cesty na každé staveniště — I drobná změna konfigurace vyžadovala cestu technika na místo. Hodiny cestování, koordinace termínů a zbytečné náklady se sčítaly napříč desítkami staveb.
• BACnet/IP nefunguje přes NAT — BACnet je broadcastový protokol navržený pro lokální sítě. Standardní VPN tunely používají unicast a broadcasty jednoduše nepřeloží — protokol tak přes internet nefunguje.
• Žádné hotové řešení na trhu — Vzdálený přístup k BACnet zařízením je v oboru známý problém, ale žádný komerční produkt jej spolehlivě neřeší. Firmy se s tím potýkají roky bez standardního řešení.
• Každá stavba má jinou síťovou infrastrukturu — Různé subnety, routery, firewally a poskytovatelé internetu. Řešení musí fungovat univerzálně bez závislosti na konkrétní konfiguraci lokální sítě.

MM Solutions navrhlo a vyvinulo kompaktní VPN bránu na míru — kombinaci hardware, mesh VPN a vlastního software, která obchází všechna omezení BACnet protokolu a funguje na jakékoliv stavbě.

• Raspberry Pi jako kompaktní VPN brána — Malé, tiché a spolehlivé zařízení, které se vejde kamkoliv na stavbě. Nízká spotřeba a bezúdržbový provoz zajišťují nepřetržitou dostupnost.
• Tailscale mesh VPN — Nulová konfigurace sítě — funguje za jakýmkoliv NAT, firewallem nebo mobilním hotspotu. Zařízení se samo připojí do privátní sítě bez zásahu technika.
• Vlastní BACnet BBMD proxy — Klíčová součást řešení — vlastní proxy, která překládá BACnet broadcasty do unicast paketů a umožňuje tak průchod protokolu přes VPN tunel.
• Plug-and-play nasazení — Klient pouze připojí Pi k síti na stavbě a vše funguje automaticky. Žádná konfigurace routeru, žádné otevírání portů, žádná závislost na IT podpoře stavby.

Projekt vznikl v úzké spolupráci s HVAC technikem, který přesně znal omezení stávajících nástrojů. Iterativní vývoj — od prototypu na jedné stavbě po univerzální řešení nasaditelné kýmkoliv bez technických znalostí.