Odgrzeję trochę temat
Odnośnie zabezpieczenia sieci
a mianowicie aby zabezpieczyć komunikację Satel <-> WAGO(w skrócie W i S

) można wykorzystać:
a) zarządzalny switch porty do których są podpiete W i S spiąć VLAN-em + dodać jakiś port z którego będziemy programować tyle że tracimy dostęp z innych urządzeń i ze świata.
jeśli chcemy mieć dostęp z "z zewnątrz" do WAGO/Satel lub z dowolnego urządzenia/kompa to najlepszym rozwiązaniem jest:
b) użycie zamiast switcha lub standardowego routera urządzenia z Mikrotikiem(lub czymś podobnym) i skonfigurowanie tego w następny sposób
- dwa porty do których zapięte będą Satel i WAGO usuwamy z ogólnego bridge'a
- dodajemy nowy bridge i do niego 2 interfejsy te do których podpięte są W i S
- W i S nadajemy adresy z innej podsieci(jakiejś wymyślnej np 10.101.102.x czy cos w tym stylu jeden z adresów przypisujemy do bridge'a stworzonego w poprzednim punkcie)
- na Mikrotiku odpalamy server PPTP(VPN) z szyfrowaniem i tworzymy konto by można się było zalogować via VPN
- do konta przypisujemy REMOTE adres IP który NIE należy do podsieci W i S i NIE należy do podsieci lokalnej
czyli jeśli router ma adres np.: 192.168.1.1/24 możemy przypisać do konta np.: 192.168.100.1
- w firewall'u dodajemy odpowiednie wpisy tak by tylko z adresu przypisanego do w/w konta można było się połączyć z W i S
- zablokowanie dostępu dla W i S do internetu
mamy zabezpieczony dostęp do W i S nawet przy otwartej sieci WiFi + mamy dostęp do W i S choćby z Chin tak jakbyśmy siedzieli w pokoju obok

- swoją drogą należy zabezpieczyć Mikrotika podstawą jest zablokowanie połączeń przychodzących poza nawiązanymi ze środka i tymi skierowanymi na PPTP(pomijam DMZ),
- wyłączenie od strony świata wszystkich usług www/telnet/ftp/winbox/ssh(tu lepszym sposobem jest blokowanie IP po 3 nieudanych próbach zalogowania na jakiś czas u mnie np 4tyg + zmiana portu na jakis wysoki np 60022(zmiana portu załatwia 99% prób

), ssh zawsze się przydaje)
do reszty i tak mamy dostęp via VPN
Pozdrawiam
Marcin S