ProHoster > Блог > Administracija > Kako doći do IPVPN Beeline putem IPSec-a. Dio 1

Kako doći do IPVPN Beeline putem IPSec-a. Dio 1

Zdravo! IN prethodni post Djelomično sam opisao rad naše MultiSIM usluge rezervacije и balansiranje kanala. Kao što je spomenuto, klijente povezujemo na mrežu putem VPN-a, a danas ću vam u ovom dijelu reći nešto više o VPN-u i našim mogućnostima.

Vrijedi početi s činjenicom da mi, kao telekom operater, imamo svoju ogromnu MPLS mrežu, koja je za korisnike fiksne telefonije podijeljena u dva glavna segmenta - onaj koji se koristi direktno za pristup Internetu i onaj koji je koristi se za kreiranje izolovanih mreža — i upravo kroz ovaj MPLS segment IPVPN (L3 OSI) i VPLAN (L2 OSI) promet za naše korporativne klijente.

Kako doći do IPVPN Beeline putem IPSec-a. Dio 1
Obično se klijentska veza odvija na sljedeći način.

Pristupna linija se postavlja do kancelarije klijenta od najbliže tačke prisutnosti mreže (čvor MEN, RRL, BSSS, FTTB itd.) i dalje se kanal registruje preko transportne mreže na odgovarajući PE-MPLS ruter, na kojem ga šaljemo na posebno kreiran za VRF klijenta, uzimajući u obzir prometni profil koji je klijentu potreban (oznake profila se biraju za svaki pristupni port, na osnovu vrijednosti ip prioriteta 0,1,3,5, XNUMX).

Ako iz nekog razloga ne možemo u potpunosti organizirati posljednju milju za klijenta, na primjer, kancelarija klijenta se nalazi u poslovnom centru, gdje je drugi provajder prioritet, ili jednostavno nemamo svoje mjesto prisutnosti u blizini, onda su prethodni klijenti morali kreirati nekoliko IPVPN mreža kod različitih provajdera (ne najisplativija arhitektura) ili samostalno rješavati probleme s organizacijom pristupa vašem VRF-u preko Interneta.

Mnogi su to učinili instaliranjem IPVPN Internet gateway-a - instalirali su granični ruter (hardver ili neko rješenje bazirano na Linuxu), spojili na njega IPVPN kanal s jednim portom i internet kanal s drugim, pokrenuli svoj VPN server na njemu i povezali se korisnika preko vlastitog VPN gatewaya. Naravno, takva šema također stvara opterećenja: takva infrastruktura se mora izgraditi i, što je najnezgodnije, upravljati i razvijati.

Kako bismo olakšali život našim klijentima, instalirali smo centralizirano VPN čvorište i organizirali podršku za konekcije preko Interneta koristeći IPSec, odnosno sada klijenti trebaju samo konfigurirati svoj ruter da radi s našim VPN čvorištem preko IPSec tunela preko bilo kojeg javnog Interneta , i pustimo promet ovog klijenta na njegov VRF.

Kome će biti od koristi?

  • Za one koji već imaju veliku IPVPN mrežu i trebaju nove veze za kratko vrijeme.
  • Svako ko iz nekog razloga želi da prenese dio prometa sa javnog Interneta na IPVPN, ali je prethodno naišao na tehnička ograničenja vezana za nekoliko provajdera usluga.
  • Za one koji trenutno imaju nekoliko različitih VPN mreža među različitim telekom operaterima. Postoje klijenti koji su uspešno organizovali IPVPN od Beeline, Megafona, Rostelecoma, itd. Da biste to olakšali, možete ostati samo na našem jedinstvenom VPN-u, prebaciti sve ostale kanale drugih operatera na Internet, a zatim se povezati na Beeline IPVPN putem IPSec-a i Interneta od ovih operatera.
  • Za one koji već imaju IPVPN mrežu na Internetu.

Ako sve implementirate kod nas, tada klijenti dobijaju punu VPN podršku, ozbiljnu redundantnost infrastrukture i standardne postavke koje će raditi na bilo kojem ruteru na koji su navikli (bilo da je u pitanju Cisco, čak i Mikrotik, glavna stvar je da može pravilno podržavati IPSec/IKEv2 sa standardiziranim metodama provjere autentičnosti). Inače, što se tiče IPSec-a - trenutno ga samo podržavamo, ali planiramo pokrenuti punopravni rad i OpenVPN-a i Wireguarda, tako da klijenti ne mogu ovisiti o protokolu i još je lakše preuzeti i prenijeti sve do nas, a takođe želimo da počnemo da povezujemo klijente sa računara i mobilnih uređaja (rešenja ugrađena u OS, Cisco AnyConnect i strongSwan i slično). Ovim pristupom, de facto izgradnja infrastrukture može se sigurno predati operateru, ostavljajući samo konfiguraciju CPE-a ili hosta.

Kako funkcionira proces povezivanja za IPSec način rada:

  1. Klijent ostavlja zahtjev svom menadžeru u kojem naznačuje potrebnu brzinu veze, profil saobraćaja i parametre IP adresiranja za tunel (podrazumevano podmreža sa maskom /30) i tip rutiranja (statičko ili BGP). Za prijenos ruta na klijentove lokalne mreže u povezanoj kancelariji koriste se IKEv2 mehanizmi faze IPSec protokola koristeći odgovarajuće postavke na klijentskom ruteru ili se oglašavaju putem BGP-a u MPLS-u iz privatnog BGP AS navedenog u klijentovoj aplikaciji . Dakle, informacije o rutama klijentskih mreža u potpunosti kontrolira klijent kroz postavke klijentskog rutera.
  2. Kao odgovor od svog menadžera, klijent dobija računovodstvene podatke za uključivanje u svoj VRF u obliku:
    • IP adresa VPN-HUB-a
    • Prijava
    • Lozinka za autentifikaciju
  3. Konfigurira CPE, u nastavku, na primjer, dvije osnovne opcije konfiguracije:

    Opcija za Cisco:
    crypto ikev2 keyring BeelineIPsec_keyring
    peer Beeline_VPNHub
    adresa 62.141.99.183 –VPN čvorište Beeline
    pre-shared-key <Lozinka za autentifikaciju>
    !
    Za opciju statičkog usmjeravanja, rute do mreža dostupnih preko Vpn-hub-a mogu se specificirati u IKEv2 konfiguraciji i one će se automatski pojaviti kao statičke rute u CE tablici usmjeravanja. Ove postavke se također mogu izvršiti korištenjem standardne metode postavljanja statičkih ruta (pogledajte dolje).

    crypto ikev2 politika autorizacije FlexClient-author

    Ruta do mreža iza CE rutera - obavezna postavka za statičko rutiranje između CE i PE. Prijenos podataka o ruti na PE se vrši automatski kada se tunel podigne kroz IKEv2 interakciju.

    postavljena ruta udaljeni ipv4 10.1.1.0 255.255.255.0 – Lokalna mreža ureda
    !
    crypto ikev2 profil BeelineIPSec_profile
    lokalni identitet <login>
    autentifikacija lokalnog pre-share
    autentikacija daljinsko pre-share
    privjesak za ključeve lokalni BeelineIPsec_keyring
    aaa autorizacijska grupa psk lista grupa-autora-list FlexClient-autor
    !
    crypto ikev2 klijent flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    Tunel za povezivanje klijenta1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    mod tunela
    !
    crypto ipsec profil podrazumevani
    set transform-set TRANSFORM1
    postavite ikev2-profil BeelineIPSec_profile
    !
    interfejs Tunel1
    ip adresa 10.20.1.2 255.255.255.252 – Adresa tunela
    tunelski izvor GigabitEthernet0/2 –Internet pristupni interfejs
    tunelski način rada ipsec ipv4
    dinamika odredišta tunela
    zaštita tunela ipsec profil podrazumevani
    !
    Rute do privatnih mreža klijenta dostupne preko Beeline VPN koncentratora mogu se postaviti statički.

    ip ruta 172.16.0.0 255.255.0.0 Tunel1
    ip ruta 192.168.0.0 255.255.255.0 Tunel1

    Opcija za Huawei (ar160/120):
    ike lokalno-naziv <login>
    #
    acl ime ipsec 3999
    pravilo 1 dozvoli ip izvor 10.1.1.0 0.0.0.255 – Lokalna mreža ureda
    #
    AAA
    servisna šema IPSEC
    set rute acl 3999
    #
    ipsec prijedlog ipsec
    esp autentifikacijski algoritam sha2-256
    esp enkripcijski algoritam aes-256
    #
    ike offer default
    enkripcijski algoritam aes-256
    dh group2
    autentifikacijski algoritam sha2-256
    autentikacijska metoda pre-share
    integrity-algoritam hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    pre-shared-key jednostavan <Lozinka za autentifikaciju>
    lokalni-id-tip fqdn
    daljinski-id-tip ip
    udaljena adresa 62.141.99.183 –VPN čvorište Beeline
    servisna šema IPSEC
    zahtjev za razmjenu konfiguracija
    config-exchange set prihvatiti
    config-exchange set poslati
    #
    ipsec profil ipsecprof
    ike-peer ipsec
    prijedlog ipsec
    #
    interfejs Tunel0/0/0
    ip adresa 10.20.1.2 255.255.255.252 – Adresa tunela
    tunel-protokol ipsec
    izvor GigabitEthernet0/0/1 –Internet pristupni interfejs
    ipsec profil ipsecprof
    #
    Rute do privatnih mreža klijenta dostupne preko Beeline VPN koncentratora mogu se postaviti statički

    ip route-static 192.168.0.0 255.255.255.0 Tunel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunel0/0/0

Rezultirajući dijagram komunikacije izgleda otprilike ovako:

Kako doći do IPVPN Beeline putem IPSec-a. Dio 1

Ukoliko klijent nema neke primjere osnovne konfiguracije, obično pomažemo u njihovom formiranju i stavljamo ih na raspolaganje svima ostalima.

Ostaje samo da povežete CPE na Internet, pingujete na odgovorni deo VPN tunela i bilo koji host unutar VPN-a, i to je to, možemo pretpostaviti da je veza uspostavljena.

U sljedećem članku ćemo vam reći kako smo kombinirali ovu šemu s IPSec i MultiSIM redundantnošću koristeći Huawei CPE: instaliramo naš Huawei CPE za klijente, koji mogu koristiti ne samo žičani internet kanal, već i 2 različite SIM kartice i CPE automatski rekonstruiše IPSec-tunel bilo putem žičanog WAN-a ili putem radija (LTE#1/LTE#2), ostvarujući visoku toleranciju grešaka rezultirajuće usluge.

Posebno hvala našim RnD kolegama na pripremi ovog članka (i, zapravo, autorima ovih tehničkih rješenja)!

izvor: www.habr.com

Dodajte komentar