ProHoster > Blog > Amministrazione > Cumu ghjunghje à IPVPN Beeline via IPSec. Parte 1

Cumu ghjunghje à IPVPN Beeline via IPSec. Parte 1

Bonghjornu! IN post precedente Aghju descrittu u travagliu di u nostru serviziu MultiSIM in parte riservazioni и equilibriu canali. Cumu l'anu dettu, cunnettamu i clienti à a reta via VPN, è oghje vi dicu un pocu più nantu à VPN è e nostre capacità in questa parte.

Hè vale a pena principià cù u fattu chì noi, cum'è un operatore di telecomunicazioni, avemu a nostra propria grande reta MPLS, chì per i clienti di linea fissa hè divisa in dui segmenti principali - quellu chì hè utilizatu direttamente per accede à Internet, è quellu chì hè. utilizatu per creà rete isolate - è hè attraversu stu segmentu MPLS chì u trafficu IPVPN (L3 OSI) è VPLAN (L2 OSI) scorri per i nostri clienti corporativi.

Cumu ghjunghje à IPVPN Beeline via IPSec. Parte 1
Di genere, una cunnessione di u cliente si trova cum'è seguita.

Una linea d'accessu hè posta à l'uffiziu di u cliente da u Puntu di Presenza più vicinu di a reta (node ​​MEN, RRL, BSSS, FTTB, etc.) è in più, u canali hè registratu attraversu a reta di trasportu à u PE-MPLS currispundente. router, nantu à quale l'avemu in un pruduttu creatu apposta per u cliente VRF, tenendu in contu u prufilu di trafficu chì u cliente hà bisognu (l'etichette di prufilu sò selezziunate per ogni portu d'accessu, basatu annantu à i valori di precedenza ip 0,1,3,5, XNUMX).

Se per una certa ragione ùn pudemu micca urganizà cumplettamente l'ultimu chilometru per u cliente, per esempiu, l'uffiziu di u cliente hè situatu in un centru cummerciale, induve un altru fornitore hè una priorità, o simpricimenti ùn avemu micca u nostru puntu di presenza vicinu, allora prima i clienti. duverebbe creà parechje rete IPVPN à diversi fornituri (micca l'architettura più efficae di u costu) o risolve in modu indipendenti i prublemi cù l'urganizazione di l'accessu à u vostru VRF per Internet.

Parechji anu fattu questu installendu una porta di Internet IPVPN - anu stallatu un router di fruntiera (hardware o una soluzione basata in Linux), cunnessu un canale IPVPN cù un portu è un canale Internet cù l'altru, hà lanciatu u so servitore VPN è cunnessu. utilizatori attraversu a so propria porta VPN. Naturalmente, un tali schema crea ancu carichi: una tale infrastruttura deve esse custruita è, a più inconveniente, operata è sviluppata.

Per fà a vita più faciule per i nostri clienti, avemu stallatu un centru VPN centralizatu è un supportu urganizatu per e cunnessione in Internet cù IPSec, vale à dì, avà i clienti solu bisognu di cunfigurà u so router per travaglià cù u nostru hub VPN via un tunnel IPSec nantu à qualsiasi Internet publicu. , è avemu Libbirà u trafficu di stu cliente à u so VRF.

Quale u truverà utile?

  • Per quelli chì anu digià una grande rete IPVPN è necessitanu novi cunnessione in pocu tempu.
  • Qualchese chì, per una certa ragione, vole trasfiriri una parte di u trafficu da l'Internet pùbblicu à IPVPN, ma hà scontru previamente limitazioni tecniche assuciate cù parechji fornituri di serviziu.
  • Per quelli chì attualmente anu parechje rete VPN disparate da diversi operatori di telecomunicazione. Ci sò clienti chì anu urganizatu cù successu IPVPN da Beeline, Megafon, Rostelecom, etc. Per fà più faciule, pudete stà solu nantu à a nostra VPN unica, cambià tutti l'altri canali di l'altri operatori in Internet, è dopu cunnette à Beeline IPVPN via IPSec è Internet da questi operatori.
  • Per quelli chì anu digià una rete IPVPN sovrapposta in Internet.

Se implementate tuttu cun noi, i clienti ricevenu un supportu VPN cumpletu, una ridondanza seria di l'infrastruttura è e paràmetri standard chì funzionanu in qualsiasi router chì sò abituati (sia Cisco, ancu Mikrotik, a cosa principale hè chì pò sustene bè. IPSec/IKEv2 cù metudi di autentificazione standardizati). A propositu, nantu à IPSec - avà solu u sustegnu, ma avemu intenzione di lancià un'operazione cumpleta sia di OpenVPN sia di Wireguard, in modu chì i clienti ùn ponu micca dipende di u protokollu è hè ancu più faciule per piglià è trasferisce tuttu à noi. è vulemu ancu cumincià à cunnette i clienti da l'urdinatori è i dispositi mobili (soluzioni integrate in u SO, Cisco AnyConnect è strongSwan è simili). Cù questu approcciu, a custruzzione de facto di l'infrastruttura pò esse rimessa in modu sicuru à l'operatore, lascendu solu a cunfigurazione di u CPE o l'ospite.

Cumu funziona u prucessu di cunnessione per u modu IPSec:

  1. U cliente lascia una dumanda à u so gestore in quale indica a velocità di cunnessione necessaria, u prufilu di trafficu è i paràmetri di l'indirizzu IP per u tunnel (per default, una subnet cù una maschera / 30) è u tipu di routing (static o BGP). Per trasfiriri rotte à e rete lucali di u cliente in l'uffiziu cunnessu, i meccanismi IKEv2 di a fase di protokollu IPSec sò utilizati utilizendu i paràmetri adatti in u router di u cliente, o sò annunziati via BGP in MPLS da u BGP AS privatu specificatu in l'applicazione di u cliente. . Cusì, l'infurmazioni nantu à e rotte di e rete di u cliente hè cumpletamente cuntrullata da u cliente attraversu i paràmetri di u router di u cliente.
  2. In risposta da u so gestore, u cliente riceve dati di cuntabilità per l'inclusione in u so VRF di a forma:
    • L'indirizzu IP VPN-HUB
    • Login
    • Password di autentificazione
  3. Configura CPE, sottu, per esempiu, duie opzioni di cunfigurazione basi:

    Opzione per Cisco:
    crypto ikev2 keyring BeelineIPsec_keyring
    pari Beeline_VPNHub
    indirizzu 62.141.99.183 - Hub VPN Beeline
    pre-shared-key <Password di autentificazione>
    !
    Per l'opzione di routing staticu, e rotte à e rete accessibili attraversu u Vpn-hub ponu esse specificate in a cunfigurazione IKEv2 è appariscenu automaticamente cum'è rotte statiche in a tabella di routing CE. Sti paràmetri ponu ancu esse fatti cù u metudu standard di stabilisce rotte statiche (vede sottu).

    pulitica d'autorizazione crypto ikev2 FlexClient-author

    Route vers les réseaux derrière le routeur CE - un paramètre obligatoire pour le routage statique entre CE et PE. U trasferimentu di dati di rotta à u PE hè realizatu automaticamente quandu u tunelu hè elevatu per interazzione IKEv2.

    route set remote ipv4 10.1.1.0 255.255.255.0 - Rete lucale di l'uffiziu
    !
    crypto ikev2 profile BeelineIPSec_profile
    identità lucale <login>
    autentificazione locale pre-share
    autentificazione remota pre-share
    keyring locale BeelineIPsec_keyring
    aaa gruppu d'autorizazione psk list group-author-list FlexClient-author
    !
    crypto ikev2 client flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    Client connect Tunnel1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    tunnel di modu
    !
    crypto ipsec profile default
    set transform-set TRANSFORM1
    set ikev2-profile BeelineIPSec_profile
    !
    interfaccia Tunnel1
    indirizzu ip 10.20.1.2 255.255.255.252 - L'indirizzu di u tunnel
    fonte di tunnel GigabitEthernet0/2 - Interfaccia di accessu à Internet
    modalità tunnel ipsec ipv4
    dinamica di destinazione di tunnel
    prutezzione di u tunnel ipsec profile default
    !
    I percorsi à e rete private di u cliente accessibule attraversu u cuncentratore VPN Beeline ponu esse stabilitu in modu staticu.

    IP route 172.16.0.0 255.255.0.0 Tunnel1
    IP route 192.168.0.0 255.255.255.0 Tunnel1

    Opzione per Huawei (ar160/120):
    cum'è nome-locale <login>
    #
    nome acl ipsec 3999
    regula 1 permette a fonte ip 10.1.1.0 0.0.0.255 - Rete lucale di l'uffiziu
    #
    aaa,
    schema di serviziu IPSEC
    route set acl 3999
    #
    pruposta ipsec ipsec
    esp authentication-algorithm sha2-256
    esp encryption-algorithm aes-256
    #
    cum'è a pruposta predefinita
    l'algoritmu di crittografia aes-256
    dh gruppu 2
    l'algoritmu di autenticazione sha2-256
    autentificazione-metudu pre-share
    l'algoritmu di integrità hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    pre-shared-key simple <Password di autentificazione>
    Local-id-type fqdn
    IP di tippu d'ID remoto
    indirizzu remoto 62.141.99.183 - Hub VPN Beeline
    schema di serviziu IPSEC
    dumanda di scambiu di cunfigurazione
    config-exchange set accetta
    config-exchange set send
    #
    prufilu ipsec ipsecprof
    ike-peer ipsec
    pruposta ipsec
    #
    interfaccia Tunnel0/0/0
    indirizzu ip 10.20.1.2 255.255.255.252 - L'indirizzu di u tunnel
    tunnel-protocol ipsec
    fonte GigabitEthernet0/0/1 - Interfaccia di accessu à Internet
    prufilu ipsec ipsecprof
    #
    I percorsi à e rete private di u cliente accessibule attraversu u cuncentratore VPN Beeline ponu esse stabilitu in modu staticu

    ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

U diagramma di cumunicazione risultante s'assumiglia à questu:

Cumu ghjunghje à IPVPN Beeline via IPSec. Parte 1

Se u cliente ùn hà micca alcuni esempi di a cunfigurazione basica, allora avemu di solitu aiutà cù a so furmazione è i mettenu dispunibuli per tutti l'altri.

Tuttu ciò chì resta hè di cunnette u CPE à Internet, ping à a parte di risposta di u tunnel VPN è qualsiasi òspite in a VPN, è questu hè, pudemu assume chì a cunnessione hè stata fatta.

In u prossimu articulu vi diceremu cumu cumminate stu schema cù IPSec è MultiSIM Redundancy cù Huawei CPE: stallà u nostru Huawei CPE per i clienti, chì ponu utilizà micca solu un canali Internet cablatu, ma ancu 2 diverse carte SIM, è u CPE. ricustruisce automaticamente IPSec-tunnel sia via WAN cablata sia via radio (LTE#1/LTE#2), rializendu una alta tolleranza di errore di u serviziu risultatu.

Un ringraziu speciale à i nostri culleghi di RnD per a preparazione di st'articulu (è, in fatti, à l'autori di sti suluzioni tecniche) !

Source: www.habr.com

Add a comment