之前是在现场工控机上安装teamviewer，然后笔记本通过teamviewer 的vpn来实现远程，不需要工控机安装tia，但是操作太麻烦，而且单机设备没有配备工控机就没法用，于是就开始了漫长的方案选择

1首先排除了买工业3G路由的方案，太丑，还拖个尾巴（O(∩_∩)O）

2接着排除了定制路由，没钱，

3通过open威皮**实现，就这个了，安全实用（以下用威皮恩代替，）

就openwrt了，可玩性高，而且能刷机的机器也多。

屁颠屁颠搞好了威皮恩，发现只能在内网能连上路由，分析了下了原因，由于用的手机共享网络，路由器获取的是内网IP，端口没法映射到外网，难道就这样完了，必须不行，首先想到的就是内网穿透，花钱的不要，上网搜了一遍，frp就你了。

思路就是通过frp把内网的端口映射到frp服务器上，然后笔记本通过威皮恩客户端连接 frp服务器+服务器上的端口来间接访问openwrt路由

可是问题又来了，得有公网ip和域名啊，分析了下可以拿家里的nas做服务器中转（有公网）或者小鸡，还有就是网上有免费的frp服务器。

以下以免费版做测试，

1首先准备个openwrt路由，

安装并配置威皮恩

安装frpc客户端 （frpc是客户端安装的，frps是服务器安装。注意客户端要与服务器版本一致，否则无法连接）

由于上述网上都有教程就不细说了（主要就是对应版本的软件外加luci界面）

接口及防火墙配置，不然连上了也访问不了内网

lan物理口勾选上tun0（威皮恩上配置的）

创建接口vpn 关联tun0（威皮恩）

地址是openwrt里威皮恩服务端配置文件里的客户端ip段

物理口也是与tun0关联

防火墙lan的设置修改

防火墙里开放1194端口（威皮恩的）

配置好后restart 威皮恩下，同时看下startup自启动里有没有启用。

frp配置

如果发现版本与服务器不一致，可以下载对应版本的frpc文件到/usr/bin/frpc/目录覆盖就行

免费服务器的地址与端口配置

威皮恩服务器设置（网上可以搜具体意义，不做解释，其实我也是一知半解，很多都是连不上网上查资料摸索出来的）

客户端

remote aliyunsz.waiwang.men 33432

float

nobind

proto tcp-client

dev tun

sndbuf 0

rcvbuf 0

keepalive 15 60

comp-lzo adaptive

#auth-user-pass

client

auth SHA256

cipher AES-256-CBC

#ns-cert-type server

remote-cert-tls server

auth-nocache

#ca.crt的内容复制过来  

<ca>

-----BEGIN CERTIFICATE-----

实际内容复制过来

-----END CERTIFICATE-----

</ca>

#client.crt 内容

<cert>

-----BEGIN CERTIFICATE-----

实际内容复制过来

-----END CERTIFICATE-----

</cert>

#client.key  内容

<key>

-----BEGIN PRIVATE KEY-----

实际内容复制过来

-----END PRIVATE KEY-----

</key>

在RENHQ的提醒下，测试发现访问不了lan口

防火墙的自定义项里需要添加如下代码后，正常连接plc。

network firewall custom rules

iptables -I INPUT 1 -p tcp --dport 1194 -j ACCEPT   #1194 为威皮恩端口

iptables -A INPUT   -i tun+ -j ACCEPT

iptables -A FORWARD -i tun+ -j ACCEPT

iptables -A FORWARD -o tun+ -j ACCEPT

iptables -A OUTPUT  -o tun+ -j ACCEPT

iptables -t nat -A POSTROUTING -s 10.8.3.0/24 -o  br-lan -j MASQUERADE   #ip为威皮恩客户端获取的ip段，

ping plc IP

博途在线测试