ProHoster > Blog > administrasie > Hoe om by IPVPN Beeline te kom via IPSec. Deel 1

Hoe om by IPVPN Beeline te kom via IPSec. Deel 1

Hallo! IN vorige pos Ek het die werk van ons MultiSIM-diens gedeeltelik beskryf besprekings и balanseer kanale. Soos genoem, koppel ons kliënte aan die netwerk via VPN, en vandag sal ek jou 'n bietjie meer vertel oor VPN en ons vermoëns in hierdie deel.

Dit is die moeite werd om te begin met die feit dat ons, as 'n telekommunikasie-operateur, ons eie groot MPLS-netwerk het, wat vir vastelynkliënte in twee hoofsegmente verdeel word - die een wat direk gebruik word om toegang tot die internet te verkry, en die een wat gebruik om geïsoleerde netwerke te skep - en dit is deur hierdie MPLS-segment dat IPVPN (L3 OSI) en VPLAN (L2 OSI) verkeer vir ons korporatiewe kliënte vloei.

Hoe om by IPVPN Beeline te kom via IPSec. Deel 1
Tipies vind 'n kliëntverbinding soos volg plaas.

'n Toegangslyn word na die kliënt se kantoor gelê vanaf die naaste punt van teenwoordigheid van die netwerk (node ​​MEN, RRL, BSSS, FTTB, ens.) en verder word die kanaal deur die vervoernetwerk geregistreer na die ooreenstemmende PE-MPLS router, waarop ons dit uitvoer na 'n spesiaal geskep vir die VRF-kliënt, met inagneming van die verkeersprofiel wat die kliënt benodig (profieletikette word vir elke toegangpoort gekies, gebaseer op die ip-voorrangwaardes 0,1,3,5, XNUMX).

As ons om een ​​of ander rede nie die laaste myl ten volle vir die kliënt kan organiseer nie, byvoorbeeld, die kliënt se kantoor is in 'n sakesentrum geleë, waar 'n ander verskaffer 'n prioriteit is, of ons het eenvoudig nie ons punt van teenwoordigheid naby nie, dan het voorheen kliënte moes verskeie IPVPN-netwerke by verskillende verskaffers skep (nie die mees koste-effektiewe argitektuur nie) of onafhanklik probleme oplos met die organisering van toegang tot jou VRF oor die internet.

Baie het dit gedoen deur 'n IPVPN-internetpoort te installeer - hulle het 'n grensroeteerder (hardeware of een of ander Linux-gebaseerde oplossing) geïnstalleer, 'n IPVPN-kanaal daaraan gekoppel met een poort en 'n internetkanaal met die ander, hul VPN-bediener daarop geloods en gekoppel gebruikers deur hul eie VPN-poort. So 'n skema skep natuurlik ook laste: sulke infrastruktuur moet gebou word en, mees ongerieflik, bedryf en ontwikkel word.

Om die lewe vir ons kliënte makliker te maak, het ons 'n gesentraliseerde VPN-spilpunt geïnstalleer en ondersteuning vir verbindings oor die internet met behulp van IPSec geïnstalleer, dit wil sê, kliënte hoef nou net hul router op te stel om met ons VPN-spilpunt te werk via 'n IPSec-tonnel oor enige publieke internet , en ons Kom ons stel hierdie kliënt se verkeer vry na sy VRF.

Wie sal dit nuttig vind?

  • Vir diegene wat reeds 'n groot IPVPN-netwerk het en binne 'n kort tyd nuwe verbindings benodig.
  • Enigiemand wat om een ​​of ander rede 'n deel van die verkeer van die publieke internet na IPVPN wil oordra, maar voorheen tegniese beperkings ondervind het wat met verskeie diensverskaffers verband hou.
  • Vir diegene wat tans verskeie uiteenlopende VPN-netwerke oor verskillende telekommunikasie-operateurs het. Daar is kliënte wat IPVPN suksesvol georganiseer het van Beeline, Megafon, Rostelecom, ens. Om dit makliker te maak, kan jy net op ons enkele VPN bly, alle ander kanale van ander operateurs na die internet oorskakel, en dan via IPSec en die internet van hierdie operateurs aan Beeline IPVPN koppel.
  • Vir diegene wat reeds 'n IPVPN-netwerk het wat op die internet bedek is.

As u alles by ons ontplooi, ontvang kliënte volwaardige VPN-ondersteuning, ernstige infrastruktuuroortolligheid en standaardinstellings wat sal werk op enige router waaraan hulle gewoond is (of dit nou Cisco is, selfs Mikrotik, die belangrikste ding is dat dit behoorlik kan ondersteun IPSec/IKEv2 met gestandaardiseerde verifikasiemetodes). Terloops, oor IPSec - op die oomblik ondersteun ons dit net, maar ons beplan om 'n volwaardige werking van beide OpenVPN en Wireguard te begin, sodat kliënte nie op die protokol kan staatmaak nie en dit selfs makliker is om alles na ons te neem en oor te dra, en ons wil ook begin om kliënte vanaf rekenaars en mobiele toestelle te koppel (oplossings ingebou in die bedryfstelsel, Cisco AnyConnect en strongSwan en dies meer). Met hierdie benadering kan die de facto-konstruksie van die infrastruktuur veilig aan die operateur oorhandig word, wat slegs die konfigurasie van die CPE of gasheer oorlaat.

Hoe werk die verbindingsproses vir IPSec-modus:

  1. Die kliënt laat 'n versoek aan sy bestuurder waarin hy die vereiste verbindingspoed, verkeersprofiel en IP-adresseringsparameters vir die tonnel aandui (by verstek 'n subnet met 'n /30-masker) en die tipe roetering (staties of BGP). Om roetes na die kliënt se plaaslike netwerke in die gekoppelde kantoor oor te dra, word die IKEv2-meganismes van die IPSec-protokolfase gebruik deur die toepaslike instellings op die kliëntroeteerder te gebruik, of dit word via BGP in MPLS geadverteer vanaf die private BGP SOOS gespesifiseer in die kliënt se toepassing . Dus word inligting oor die roetes van kliëntnetwerke heeltemal deur die kliënt beheer deur die instellings van die kliëntroeteerder.
  2. In reaksie van sy bestuurder ontvang die kliënt rekeningkundige data vir insluiting in sy VRF van die vorm:
    • VPN-HUB IP-adres
    • Teken in
    • Verifikasie wagwoord
  3. Konfigureer CPE, onder, byvoorbeeld, twee basiese konfigurasie-opsies:

    Opsie vir Cisco:
    crypto ikev2 sleutelring BeelineIPsec_sleutelring
    eweknie Beeline_VPNHub
    adres 62.141.99.183 –VPN-hub Beeline
    vooraf-gedeelde sleutel <Authentication password>
    !
    Vir die statiese roete-opsie kan roetes na netwerke toeganklik deur die Vpn-hub in die IKEv2-konfigurasie gespesifiseer word en hulle sal outomaties as statiese roetes in die CE-roeteringtabel verskyn. Hierdie instellings kan ook gemaak word deur gebruik te maak van die standaardmetode om statiese roetes op te stel (sien hieronder).

    crypto ikev2 magtigingsbeleid FlexClient-outeur

    Roete na netwerke agter die CE-roeteerder – 'n verpligte instelling vir statiese roetering tussen CE en PE. Die oordrag van roetedata na die PE word outomaties uitgevoer wanneer die tonnel deur IKEv2-interaksie verhoog word.

    roetestel afgeleë ipv4 10.1.1.0 255.255.255.0 - Kantoor plaaslike netwerk
    !
    crypto ikev2 profiel BeelineIPSec_profile
    identiteit plaaslike <login>
    verifikasie plaaslike voorafdeling
    verifikasie afstandvoordeling
    sleutelring plaaslike BeelineIPsec_sleutelring
    aaa magtiging groep psk lys groep-outeur-lys FlexClient-outeur
    !
    crypto ikev2 kliënt flexvpn BeelineIPsec_flex
    eweknie 1 Beeline_VPNHub
    kliënt verbind Tunnel1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    modus tonnel
    !
    crypto ipsec profiel verstek
    stel transform-stel TRANSFORMEER1
    stel ikev2-profiel BeelineIPSec_profile
    !
    koppelvlak Tunnel1
    IP-adres 10.20.1.2 255.255.255.252 – Tonneladres
    tonnelbron GigabitEthernet0/2 -Internet toegang koppelvlak
    tonnelmodus ipsec ipv4
    tonnelbestemming dinamiese
    tonnelbeskerming ipsec profiel verstek
    !
    Roetes na die kliënt se private netwerke wat toeganklik is deur die Beeline VPN-konsentrator kan staties gestel word.

    ip-roete 172.16.0.0 255.255.0.0 Tonnel1
    ip-roete 192.168.0.0 255.255.255.0 Tonnel1

    Opsie vir Huawei (ar160/120):
    ike plaaslike-naam <login>
    #
    acl naam ipsec 3999
    reël 1 laat ip-bron 10.1.1.0 0.0.0.255 toe - Kantoor plaaslike netwerk
    #
    aaa
    diensskema IPSEC
    roete stel acl 3999
    #
    ipsec voorstel ipsec
    esp verifikasie-algoritme sha2-256
    esp enkripsie-algoritme aes-256
    #
    ike voorstel verstek
    enkripsie-algoritme aes-256
    dh groep 2
    verifikasie-algoritme sha2-256
    verifikasie-metode voorafdeling
    integriteit-algoritme hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    vooraf-gedeelde sleutel eenvoudige <Authentication password>
    plaaslike-ID-tipe fqdn
    afstand-ID-tipe ip
    afstand-adres 62.141.99.183 –VPN-hub Beeline
    diensskema IPSEC
    config-uitruilversoek
    config-uitruil stel aanvaar
    config-uitruil stel stuur
    #
    ipsec profiel ipsecprof
    ike-peer ipsec
    voorstel ipsec
    #
    koppelvlak Tunnel0/0/0
    IP-adres 10.20.1.2 255.255.255.252 – Tonneladres
    tonnel-protokol ipsec
    bron GigabitEthernet0/0/1 -Internet toegang koppelvlak
    ipsec profiel ipsecprof
    #
    Roetes na die kliënt se privaat netwerke wat toeganklik is deur die Beeline VPN-konsentrator kan staties gestel word

    ip-roete-staties 192.168.0.0 255.255.255.0 Tonnel0/0/0
    ip-roete-staties 172.16.0.0 255.255.0.0 Tonnel0/0/0

Die gevolglike kommunikasiediagram lyk iets soos volg:

Hoe om by IPVPN Beeline te kom via IPSec. Deel 1

As die kliënt nie 'n paar voorbeelde van die basiese konfigurasie het nie, help ons gewoonlik met die vorming daarvan en maak dit aan almal anders beskikbaar.

Al wat oorbly, is om die CPE aan die internet te koppel, te ping na die reaksiegedeelte van die VPN-tonnel en enige gasheer binne die VPN, en dit is dit, ons kan aanneem dat die verbinding gemaak is.

In die volgende artikel sal ons jou vertel hoe ons hierdie skema gekombineer het met IPSec en MultiSIM Redundancy met Huawei CPE: ons installeer ons Huawei CPE vir kliënte, wat nie net 'n bedrade internetkanaal kan gebruik nie, maar ook 2 verskillende SIM-kaarte, en die CPE herbou outomaties IPSec-tonnel óf via bedrade WAN óf via radio (LTE#1/LTE#2), en realiseer hoë fouttoleransie van die gevolglike diens.

Spesiale dank aan ons RnD-kollegas vir die voorbereiding van hierdie artikel (en, in werklikheid, aan die skrywers van hierdie tegniese oplossings)!

Bron: will.com

Voeg 'n opmerking