ProHoster > Bloc > Administració > Com arribar a IPVPN Beeline mitjançant IPSec. Part 1

Com arribar a IPVPN Beeline mitjançant IPSec. Part 1

Hola! EN publicació anterior Vaig descriure en part el treball del nostre servei MultiSIM reserves и equilibri canals. Com s'ha esmentat, connectem clients a la xarxa mitjançant VPN, i avui us explicaré una mica més sobre VPN i les nostres capacitats en aquesta part.

Val la pena començar pel fet que nosaltres, com a operador de telecomunicacions, tenim la nostra pròpia xarxa MPLS enorme, que per als clients de línia fixa es divideix en dos segments principals: el que s'utilitza directament per accedir a Internet i el que és s'utilitza per crear xarxes aïllades, i és a través d'aquest segment MPLS que flueix el trànsit IPVPN (L3 OSI) i VPLAN (L2 OSI) per als nostres clients corporatius.

Com arribar a IPVPN Beeline mitjançant IPSec. Part 1
Normalment, una connexió de client es produeix de la següent manera.

Es posa una línia d'accés a l'oficina del client des del punt de presència més proper de la xarxa (node ​​MEN, RRL, BSSS, FTTB, etc.) i, a més, el canal es registra a través de la xarxa de transport al PE-MPLS corresponent. encaminador, en el qual l'enviam a un client especialment creat per al client VRF, tenint en compte el perfil de trànsit que necessita el client (les etiquetes de perfil es seleccionen per a cada port d'accés, en funció dels valors de precedència ip 0,1,3,5, XNUMX).

Si per alguna raó no podem organitzar completament l'última milla per al client, per exemple, l'oficina del client està ubicada en un centre de negocis, on un altre proveïdor és una prioritat, o simplement no tenim el nostre punt de presència a prop, llavors els clients anteriors va haver de crear diverses xarxes IPVPN a diferents proveïdors (no l'arquitectura més rendible) o resoldre de manera independent problemes amb l'organització de l'accés al vostre VRF a través d'Internet.

Molts ho van fer instal·lant una passarel·la d'Internet IPVPN: van instal·lar un encaminador de frontera (maquinari o alguna solució basada en Linux), van connectar-hi un canal IPVPN amb un port i un canal d'Internet amb l'altre, van llançar el seu servidor VPN i es van connectar. usuaris mitjançant la seva pròpia passarel·la VPN. Naturalment, aquest esquema també genera càrregues: aquesta infraestructura s'ha de construir i, el més inconvenient, operar i desenvolupar.

Per facilitar la vida als nostres clients, hem instal·lat un concentrador VPN centralitzat i hem organitzat el suport per a connexions a Internet mitjançant IPSec, és a dir, ara els clients només han de configurar el seu encaminador perquè funcioni amb el nostre concentrador VPN a través d'un túnel IPSec a través de qualsevol Internet pública. , i alliberem el trànsit d'aquest client al seu VRF.

Qui necessitarà

  • Per a aquells que ja tenen una gran xarxa IPVPN i necessiten noves connexions en poc temps.
  • Qualsevol persona que, per algun motiu, vulgui transferir part del trànsit d'Internet pública a IPVPN, però prèviament s'ha trobat amb limitacions tècniques associades a diversos proveïdors de serveis.
  • Per a aquells que actualment tenen diverses xarxes VPN diferents entre diferents operadors de telecomunicacions. Hi ha clients que han organitzat IPVPN amb èxit des de Beeline, Megafon, Rostelecom, etc. Per facilitar-ho, només podeu romandre a la nostra única VPN, canviar tots els altres canals d'altres operadors a Internet i connectar-vos a Beeline IPVPN mitjançant IPSec i Internet des d'aquests operadors.
  • Per a aquells que ja tenen una xarxa IPVPN superposada a Internet.

Si ho desplegueu tot amb nosaltres, els clients reben suport VPN complet, redundància d'infraestructura seriosa i configuracions estàndard que funcionaran en qualsevol encaminador al qual estiguin acostumats (ja sigui Cisco, fins i tot Mikrotik, el més important és que pugui donar suport correctament). IPSec/IKEv2 amb mètodes d'autenticació estandarditzats). Per cert, sobre IPSec: ara mateix només ho donem suport, però tenim previst llançar un funcionament complet tant d'OpenVPN com de Wireguard, de manera que els clients no puguin dependre del protocol i sigui encara més fàcil agafar i transferir-nos-ho tot, i també volem començar a connectar clients des d'ordinadors i dispositius mòbils (solucions integrades al sistema operatiu, Cisco AnyConnect i strongSwan i similars). Amb aquest enfocament, la construcció de facto de la infraestructura es pot lliurar de manera segura a l'operador, deixant només la configuració del CPE o host.

Com funciona el procés de connexió per al mode IPSec:

  1. El client deixa una petició al seu gestor en què indica la velocitat de connexió requerida, el perfil de trànsit i els paràmetres d'adreçament IP del túnel (per defecte, una subxarxa amb màscara /30) i el tipus d'encaminament (estàtica o BGP). Per transferir rutes a les xarxes locals del client a l'oficina connectada, s'utilitzen els mecanismes IKEv2 de la fase del protocol IPSec mitjançant la configuració adequada del router del client, o s'anuncien mitjançant BGP en MPLS des del BGP AS privat especificat a l'aplicació del client. . Així, la informació sobre les rutes de les xarxes de client està completament controlada pel client mitjançant la configuració de l'encaminador client.
  2. Com a resposta del seu responsable, el client rep dades comptables per incloure'ls en el seu VRF del formulari:
    • Adreça IP VPN-HUB
    • Iniciar sessió
    • Contrasenya d'autenticació
  3. Configura CPE, a continuació, per exemple, dues opcions de configuració bàsiques:

    Opció per a Cisco:
    anell de claus cripto ikev2 BeelineIPsec_keyring
    igual Beeline_VPNHub
    adreça 62.141.99.183 – Hub VPN Beeline
    pre-shared-key <Contrasenya d'autenticació>
    !
    Per a l'opció d'encaminament estàtic, les rutes a xarxes accessibles a través del Vpn-hub es poden especificar a la configuració IKEv2 i apareixeran automàticament com a rutes estàtiques a la taula d'encaminament CE. Aquests paràmetres també es poden fer mitjançant el mètode estàndard d'establir rutes estàtiques (vegeu més avall).

    política d'autorització cripto ikev2 FlexClient-author

    Encaminament a xarxes darrere de l'encaminador CE: una configuració obligatòria per a l'encaminament estàtic entre CE i PE. La transferència de dades de ruta al PE es realitza automàticament quan el túnel s'eleva mitjançant la interacció IKEv2.

    conjunt de rutes remot ipv4 10.1.1.0 255.255.255.0 – Xarxa local d'oficines
    !
    crypto ikev2 profile BeelineIPSec_profile
    identitat local <inici de sessió>
    autenticació local prèvia compartida
    precompartició remota d'autenticació
    anell de claus local BeelineIPsec_keyring
    aaa grup d'autorització llista psk grup-author-list FlexClient-author
    !
    client cripto ikev2 flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    Túnel de connexió del client 1
    !
    conjunt de transformacions cripto ipsec TRANSFORM1 esp-aes 256 esp-sha256-hmac
    túnel de mode
    !
    Per defecte del perfil cripto ipsec
    set transforma-conjunt TRANSFORM1
    defineix ikev2-profile BeelineIPSec_profile
    !
    interfície Tunnel1
    adreça IP 10.20.1.2 255.255.255.252 – Adreça del túnel
    font del túnel GigabitEthernet0/2 - Interfície d'accés a Internet
    mode túnel ipsec ipv4
    dinàmica de destinació del túnel
    protecció del túnel per defecte del perfil ipsec
    !
    Les rutes a les xarxes privades del client accessibles mitjançant el concentrador VPN de Beeline es poden configurar de manera estàtica.

    ruta IP 172.16.0.0 255.255.0.0 Tunnel1
    ruta IP 192.168.0.0 255.255.255.0 Tunnel1

    Opció per a Huawei (ar160/120):
    com nom-local <inici de sessió>
    #
    nom acl ipsec 3999
    regla 1 permet la font IP 10.1.1.0 0.0.0.255 – Xarxa local d'oficines
    #
    aaa
    esquema de servei IPSEC
    conjunt de rutes acl 3999
    #
    proposta ipsec ipsec
    esp algorisme d'autenticació sha2-256
    esp algorisme de xifratge aes-256
    #
    com la proposta predeterminada
    algorisme de xifratge aes-256
    grup dh 2
    algorisme d'autenticació sha2-256
    precompartició del mètode d'autenticació
    algorisme d'integritat hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    clau precompartida simple <contrasenya d'autenticació>
    local-id-type fqdn
    IP de tipus identificador remot
    adreça remota 62.141.99.183 – Hub VPN Beeline
    esquema de servei IPSEC
    sol·licitud d'intercanvi de configuració
    config-exchange set acceptar
    config-exchange set envia
    #
    perfil ipsec ipsecprof
    ike-peer ipsec
    proposta ipsec
    #
    interfície Tunnel0/0/0
    adreça IP 10.20.1.2 255.255.255.252 – Adreça del túnel
    túnel-protocol ipsec
    font GigabitEthernet0/0/1 - Interfície d'accés a Internet
    perfil ipsec ipsecprof
    #
    Les rutes a les xarxes privades del client accessibles mitjançant el concentrador VPN de Beeline es poden configurar de manera estàtica

    ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

El diagrama de comunicació resultant s'assembla a això:

Com arribar a IPVPN Beeline mitjançant IPSec. Part 1

Si el client no té alguns exemples de la configuració bàsica, normalment ajudem amb la seva formació i els posem a disposició de tots els altres.

Només queda connectar el CPE a Internet, fer ping a la part de resposta del túnel VPN i qualsevol host dins de la VPN, i ja està, podem suposar que la connexió s'ha fet.

En el següent article us explicarem com hem combinat aquest esquema amb IPSec i Redundància MultiSIM mitjançant Huawei CPE: instal·lem el nostre Huawei CPE per a clients, que pot utilitzar no només un canal d'Internet per cable, sinó també 2 targetes SIM diferents, i el CPE. reconstrueix automàticament el túnel IPSec ja sigui mitjançant WAN per cable o per ràdio (LTE#1/LTE#2), aconseguint una alta tolerància a fallades del servei resultant.

Un agraïment especial als nostres companys de RnD per preparar aquest article (i, de fet, als autors d'aquestes solucions tècniques)!

Font: www.habr.com

Afegeix comentari