ProHoster > блог > адміністраванне > Як патрапіць у IPVPN Білайн праз IPSec. Частка 1

Як патрапіць у IPVPN Білайн праз IPSec. Частка 1

Прывітанне! У папярэднім пасце я апісаў працу нашага сэрвісу MultiSIM у частцы рэзервавання и балансавання каналаў. Як было згадана, кліентаў да сеткі мы падключаем праз VPN, і сёння я раскажу крыху больш пра VPN і нашы магчымасці ў гэтай частцы.

Пачаць варта з таго, што ў нас як у аператара сувязі ёсць свая велізарная MPLS-сетка, якая для кліентаў фіксаванай сувязі падзелена на два асноўных сегмента - той, што выкарыстоўваецца непасрэдна для доступу ў сетку Інтэрнэт, і той, што выкарыстоўваецца для стварэння ізаляваных сетак - І менавіта праз гэты сегмент MPLS ходзіць трафік IPVPN (L3 OSI) і VPLAN (L2 OSI) для нашых карпаратыўных кліентаў.

Як патрапіць у IPVPN Білайн праз IPSec. Частка 1
Звычайна падлучэнне кліента адбываецца наступным чынам.

Да офіса кліента пракладаецца лінія доступу ад бліжэйшай кропкі прысутнасці сеткі (вузла MEN, РРЛ, БССС, FTTB і г.д.) і далей, канал прапісваецца па транспартнай сетцы да адпаведнага РЕ-MPLS-маршрутызатара, на якім мы выводзім яе ў спецыяльна ствараемы. для кліента VRF c улікам профіля трафіку, які неабходзен кліенту (пазнакі профіля выбіраюцца для кожнага порта доступу, засноўваючыся на значэннях ip precedence 0,1,3,5).

Калі па нейкіх прычынах мы не можам паўнавартасна арганізаваць у кліента апошнюю мілю, напрыклад, офіс кліента знаходзіцца ў бізнес-цэнтры, дзе ў прыярытэце іншы правайдэр, ці побач проста няма нашай кропкі прысутнасці, то раней кліентам даводзілася ствараць некалькі IPVPN-сетак у розных правайдэраў (не самая выгадная па кошце архітэктура) або самастойна вырашаць пытанні з арганізацыяй доступу да са свайго VRF па-над сеткай Інтэрнэт.

Многія рабілі гэта з дапамогай усталёўкі IPVPN-інтэрнэт шлюза - усталёўвалі межавы маршрутызатар (апаратны ці якое-небудзь рашэнне на базе Linux), падлучалі да яго адным портам IPVPN-канал, а іншым - Інтэрнэт-канал, запускалі на ім свой VPN-сервер і падлучалі карыстачоў праз свой уласны VPN-шлюз. Натуральна, такая схема спараджае і абцяжарання: падобную інфраструктуру трэба ўмець будаваць і, што самае нязручнае - эксплуатаваць і развіваць.

Каб спрасціць нашым кліентам жыццё, мы ўсталявалі цэнтралізаваны VPN-хаб і арганізавалі падтрымку ўключэнняў па-над інтэрнэтам з выкарыстаннем IPSec, гэта значыць зараз кліентам, трэба толькі наладзіць свой роўтэр для працы з нашым VPN-хабам па IPSec-тунэлю праз любы публічны інтэрнэт, і мы выпусцім трафік гэтага кліента ў яго VRF.

Каму спатрэбіцца

  • Тым, у каго ўжо існуе вялікая IPVPN-сетка і ўзнікаюць запатрабаванні ў новых падлучэннях у сціснутыя тэрміны.
  • Усім, хто з нейкіх прычынаў хоча перанесці частку трафіку з публічнага інтэрнэту ў IPVPN, але раней сутыкаўся з тэхнічнымі абмежаваннямі, звязанымі з некалькімі правайдэрамі паслуг.
  • Тым, у каго зараз ёсць некалькі разрозненых VPN-сетак у розных аператараў сувязі. Існуюць кліенты, у якіх паспяхова арганізаваны IPVPN і ад Білайн, і ад Мегафон, і ад Растэлекам і г.д. Каб стала прасцей, можна застацца толькі на нашым адзіным VPN, усе астатнія каналы іншых аператараў пераключыць на інтэрнэт, пасля чаго далучацца да IPVPN Білайн праз IPSec і інтэрнэт ад гэтых аператараў.
  • Тым, у каго ўжо ёсць IPVPN-сетка, накладзеная на Інтэрнет.

Калі разгарнуць усё ў нас, то кліенты атрымліваюць і паўнавартасны саппорт па VPN, і сур'ёзнае рэзерваванне інфраструктуры, і тыпавыя налады, якія запрацуюць на любым звыклым для яго роўтары (няхай гэта будзе хоць Cisco, хоць Mikrotik, галоўнае, каб умеў нармальна падтрымліваць IPSec/IKEv2 са стандартызаванымі метадамі аўтэнтыфікацыі). Дарэчы, пра IPSec – прама цяпер мы падтрымліваем толькі яго, але ў планах запусціць паўнавартасную працу і OpenVPN, і Wireguard, каб кліенты маглі не залежаць ад пратаколу і яшчэ прасцей узяць і перанесці ўсё да нас, а таксама жадаем пачаць падлучаць кліентаў з кампутараў і мабільных прылад (убудаваныя ў АС рашэнні, Cisco AnyConnect і strongSwan і падобныя). Пры такім падыходзе дэ-факта пабудову інфраструктуры можна смела аддаць аператару, пакінуўшы толькі настройку СРЕ або хаста.

Як адбываецца працэс падключэння для рэжыму IPSec:

  1. Кліент пакідае заяўку свайму мэнэджару, у якой паказвае неабходную хуткасць падключэння, профіль трафіку і параметры IP адрасацыі для тунэля (па змаўчанні падсетку з маскай /30) і тып маршрутызацыі (статыка або BGP). Для перадачы маршрутаў да лакальных сетак кліента ў падключаемым офісе выкарыстоўваюцца механізмы IKEv2 фазы пратакола IPSec з дапамогай адпаведных настроек на кліенцкім маршрутызатары, або анансуюцца па BGP у MPLS з указанага ў заяўцы кліентам прыватнага BGP AS. Такім чынам інфармацыя аб маршрутах кліенцкіх сетак цалкам кантралюецца кліентам праз наладкі кліенцкага маршрутызатара.
  2. У адказ ад свайго мэнэджара кліент атрымлівае акаўнтынгавыя дадзеныя для ўключэння ў свой VRF выгляду:
    • IP-адрас VPN-HUB
    • Лагін
    • Пароль аўтэнтыфікацыі
  3. Наладжвае СРЕ, ніжэй, для прыкладу два варыянты базавай канфігурацыі:

    Варыянт для Сisco:
    crypto ikev2 keyring BeelineIPsec_keyring
    peer Beeline_VPNHub
    адрас 62.141.99.183 –VPN канцэнтратар Білайн
    pre-shared-key <Пароль аўтэнтыфікацыі>
    !
    Для варыянту са статычнай маршрутызацыяй маршруты да сетак, даступных праз Vpn-hub могуць быць зададзены ў наладзе IKEv2 і яны аўтаматычна з'явяцца як статычныя маршруты ў табліцы маршрутызацыі СЕ. Дадзеныя налады магчыма зрабіць таксама і стандартным спосабам задання статычных маршрутаў (гл.ніжэй).

    crypto ikev2 authorization policy FlexClient-author

    Маршрут да сетак за СЕ маршрутызатарам - абавязковая настройка пры статычнай маршрутызацыі паміж СЕ і PE. Перадача дадзеных маршрутаў на РЭ вырабляецца аўтаматычна пры ўзняцці тунэля праз IKEv2 узаемадзеянне.

    route set remote ipv4 10.1.1.0 255.255.255.0 -Лакальная сетка офіса
    !
    crypto profil ikev2 BeelineIPSec_profile
    identity local < лагін >
    authentication local pre-share
    authentication remote pre-share
    keyring local BeelineIPsec_keyring
    aaa authorization group psk list group-author-list FlexClient-author
    !
    crypto ikev2 client flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    client connect Tunnel1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    mode tunnel
    !
    crypto ipsec profile default
    set transform-set TRANSFORM1
    set ikev2-profile BeelineIPSec_profile
    !
    інтэрфейс Tunnel1
    IP-адрас 10.20.1.2 255.255.255.252 -Адрас тунэля
    tunnel source GigabitEthernet0/2 -Інтэрфейс доступу ў Інтэрнэт
    Тунэльны рэжым ipsec ipv4
    tunnel destination dynamic
    tunnel protection ipsec profile default
    !
    Маршруты да прыватных сетак кліента, даступных праз VPN канцэнтратар Білайн, можна задаць статычна.

    ip route 172.16.0.0 255.255.0.0 Tunnel1
    ip route 192.168.0.0 255.255.255.0 Tunnel1

    Варыянт для Huawei (ar160/120):
    ike local-name < лагін >
    #
    acl name ipsec 3999
    rule 1 permit ip source 10.1.1.0 0.0.0.255 -Лакальная сетка офіса
    #
    ааа
    service-scheme IPSEC
    route set acl 3999
    #
    ipsec proposal ipsec
    esp authentication-algorithm sha2-256
    esp encryption-algorithm aes-256
    #
    ike proposal default
    encryption-algorithm aes-256
    dh group2
    authentication-algorithm sha2-256
    authentication-method pre-share
    integrity-algorithm hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    pre-shared-key simple <Пароль аўтэнтыфікацыі>
    local-id-type fqdn
    remote-id-type ip
    remote-address 62.141.99.183 –VPN канцэнтратар Білайн
    service-scheme IPSEC
    config-exchange request
    config-exchange set accept
    config-exchange set send
    #
    ipsec profile ipsecprof
    ike-peer ipsec
    proposal ipsec
    #
    interface Tunnel0/0/0
    IP-адрас 10.20.1.2 255.255.255.252 -Адрас тунэля
    tunnel-protocol ipsec
    source GigabitEthernet0/0/1 -Інтэрфейс доступу ў Інтэрнэт
    ipsec profile ipsecprof
    #
    Маршруты да прыватных сетак кліента, даступных праз VPN канцэнтратар Білайн, можна задаць статычна

    ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

Атрыманая схема сувязі выглядае прыкладна вось так:

Як патрапіць у IPVPN Білайн праз IPSec. Частка 1

Калі нейкіх прыкладаў базавай канфігурацыі няма ў кліента - то мы звычайна дапамагаем з іх фарміраваннем і робім даступнымі для ўсіх астатніх.

Засталося падлучыць СРЕ ў Інтэрнэт, зрабіць ping да зваротнай часткі VPN-тунэля і які-небудзь хаста ўсярэдзіне VPN, і ўсё, можна лічыць, што падлучэнне адбылося.

У наступным артыкуле раскажам, як мы скамбінавалі гэтую схему з IPSec і MultiSIM Рэзерваваннем з дапамогай CPE Huawei: ставім кліентам наша CPE Huawei, у якім можа выкарыстоўвацца не толькі правадной інтэрнэт канал, але і 2 розных SIM-карты, і CPE аўтаматычна перабудоўвае IPSec- тунэль альбо праз правадной WAN, альбо праз радыё (LTE#1/LTE#2), рэалізуючы высокую адмоваўстойлівасць выніковага сэрвісу.

Асобны дзякуй за падрыхтоўку гэтага артыкула (і, уласна, аўтарам гэтых тэхрашэнняў) калегам з нашага RnD!

Крыніца: habr.com

Дадаць каментар