ProHoster > Blog > podávání > Jak se dostat do IPVPN Beeline přes IPSec. Část 1

Jak se dostat do IPVPN Beeline přes IPSec. Část 1

Ahoj! V předchozí příspěvek Částečně jsem popsal práci naší služby MultiSIM rezervace и vyvažování kanály. Jak bylo zmíněno, klienty připojujeme k síti přes VPN a dnes vám o VPN a našich možnostech povím něco více v tomto díle.

Vyplatí se začít tím, že my jako telekomunikační operátor máme vlastní obrovskou MPLS síť, která se pro zákazníky pevných linek dělí na dva hlavní segmenty – na ten, který slouží přímo pro přístup k internetu, a ten, který je používá k vytváření izolovaných sítí — a právě přes tento segment MPLS proudí provoz IPVPN (L3 OSI) a VPLAN (L2 OSI) pro naše firemní klienty.

Jak se dostat do IPVPN Beeline přes IPSec. Část 1
Připojení klienta obvykle probíhá následovně.

Do kanceláře klienta je položena přístupová linka z nejbližšího bodu přítomnosti sítě (uzel MEN, RRL, BSSS, FTTB atd.) a dále je kanál registrován přes transportní síť na odpovídající PE-MPLS router, na kterém jej vyvedeme do speciálně vytvořeného pro klienta VRF s přihlédnutím k profilu provozu, který klient potřebuje (pro každý přístupový port se vybírají štítky profilu na základě hodnot ip priority 0,1,3,5, XNUMX).

Pokud z nějakého důvodu nemůžeme pro klienta plně zorganizovat poslední míli, například kancelář klienta se nachází v obchodním centru, kde je prioritou jiný poskytovatel, nebo jednoduše nemáme své místo přítomnosti poblíž, pak dříve klienti museli vytvořit několik sítí IPVPN u různých poskytovatelů (není to nákladově nejefektivnější architektura) nebo nezávisle vyřešit problémy s organizací přístupu k vašemu VRF přes internet.

Mnozí to udělali instalací internetové brány IPVPN – nainstalovali hraniční směrovač (hardware nebo nějaké řešení založené na Linuxu), připojili k němu kanál IPVPN jedním portem a internetový kanál druhým, spustili na něm svůj VPN server a připojili se uživatelé prostřednictvím vlastní brány VPN. Takový systém samozřejmě také vytváří zátěž: taková infrastruktura musí být vybudována a, což je nejnevhodnější, provozována a rozvíjena.

Abychom našim klientům usnadnili život, nainstalovali jsme centralizovaný rozbočovač VPN a zorganizovali podporu pro připojení přes internet pomocí IPSec, to znamená, že nyní klienti potřebují pouze nakonfigurovat svůj router, aby fungoval s naším rozbočovačem VPN prostřednictvím tunelu IPSec přes jakýkoli veřejný internet. , a uvolníme provoz tohoto klienta do jeho VRF.

Kdo bude potřebovat

  • Pro ty, kteří již mají velkou síť IPVPN a potřebují nová připojení v krátké době.
  • Každý, kdo chce z nějakého důvodu převést část provozu z veřejného internetu do IPVPN, ale již dříve narazil na technická omezení spojená s více poskytovateli služeb.
  • Pro ty, kteří v současné době mají několik různých sítí VPN u různých telekomunikačních operátorů. Existují klienti, kteří úspěšně zorganizovali IPVPN od společností Beeline, Megafon, Rostelecom atd. Aby to bylo jednodušší, můžete zůstat pouze u naší jediné VPN, přepnout všechny ostatní kanály ostatních operátorů na internet a poté se připojit k Beeline IPVPN přes IPSec a internet od těchto operátorů.
  • Pro ty, kteří již mají IPVPN síť překrytou na internetu.

Pokud vše nasadíte u nás, pak klienti získají plnohodnotnou podporu VPN, vážnou redundanci infrastruktury a standardní nastavení, které bude fungovat na každém routeru, na který jsou zvyklí (ať už je to Cisco, dokonce i Mikrotik, hlavní je, že umí správně podporovat IPSec/IKEv2 se standardizovanými metodami ověřování). Mimochodem, o IPSec - zatím pouze podporujeme, ale plánujeme spustit plnohodnotný provoz OpenVPN i Wireguardu, aby klienti nebyli závislí na protokolu a bylo ještě snazší vše přebírat a přenášet k nám, a také chceme začít připojovat klienty z počítačů a mobilních zařízení (řešení zabudovaná v OS, Cisco AnyConnect a strongSwan a podobně). S tímto přístupem může být de facto výstavba infrastruktury bezpečně předána operátorovi a zůstane pouze konfigurace CPE nebo hostitele.

Jak funguje proces připojení v režimu IPSec:

  1. Klient zanechá svému manažerovi požadavek, ve kterém uvede požadovanou rychlost připojení, dopravní profil a parametry IP adresování pro tunel (standardně podsíť s maskou /30) a typ směrování (statické nebo BGP). Pro přenos tras do lokálních sítí klienta v připojené kanceláři se využívají mechanismy IKEv2 fáze protokolu IPSec pomocí příslušného nastavení na klientském routeru, nebo jsou inzerovány přes BGP v MPLS z privátního BGP AS specifikovaného v klientské aplikaci. . Informace o trasách klientských sítí jsou tedy zcela řízeny klientem prostřednictvím nastavení klientského routeru.
  2. V odpovědi od svého manažera klient obdrží účetní data, která zařadí do svého VRF ve formě:
    • IP adresa VPN-HUB
    • přihlášení
    • Heslo pro autentizaci
  3. Konfiguruje CPE, níže například dvě základní možnosti konfigurace:

    Možnost pro Cisco:
    crypto ikev2 keyring BeelineIPsec_keyring
    peer Beeline_VPNHub
    adresu 62.141.99.183 –VPN hub Beeline
    předsdílený klíč <Heslo pro ověření>
    !
    Pro možnost statického směrování lze v konfiguraci IKEv2 zadat trasy do sítí přístupných přes rozbočovač Vpn a automaticky se zobrazí jako statické trasy ve směrovací tabulce CE. Tato nastavení lze provést i standardním způsobem nastavení statických tras (viz níže).

    zásada autorizace krypto ikev2 FlexClient-author

    Směrování do sítí za CE routerem – povinné nastavení pro statické směrování mezi CE a PE. Přenos dat trasy do PE se provádí automaticky, když je tunel zvednut prostřednictvím interakce IKEv2.

    nastavení trasy vzdálené ipv4 10.1.1.0 255.255.255.0 – Místní síť Office
    !
    krypto ikev2 profil BeelineIPSec_profile
    místní identita <přihlášení>
    autentizace místní předsdílení
    autentizace vzdálené předsdílení
    místní klíčenka BeelineIPsec_keyring
    aaa autorizační skupina psk seznam skupin-autor-seznam FlexClient-author
    !
    crypto ikev2 klient flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    klientské připojení Tunnel1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    tunel režimu
    !
    výchozí profil krypto ipsec
    set transform-set TRANSFORM1
    nastavit ikev2-profile BeelineIPSec_profile
    !
    rozhraní Tunnel1
    Adresa IP 10.20.1.2 255.255.255.252 – Adresa tunelu
    tunelový zdroj GigabitEthernet0/2 – Rozhraní pro přístup k internetu
    tunelový režim ipsec ipv4
    dynamický cíl tunelu
    Ochrana tunelu výchozí profil ipsec
    !
    Trasy do privátních sítí klienta přístupných přes koncentrátor Beeline VPN lze nastavit staticky.

    ip trasa 172.16.0.0 255.255.0.0 Tunel1
    ip trasa 192.168.0.0 255.255.255.0 Tunel1

    Možnost pro Huawei (ar160/120):
    ike local-name <login>
    #
    název acl ipsec 3999
    pravidlo 1 povoluje zdroj IP 10.1.1.0 0.0.0.255 – Místní síť Office
    #
    aaa
    schéma služeb IPSEC
    trasa nastavena acl 3999
    #
    Návrh ipsec ipsec
    esp autentizační-algoritmus sha2-256
    esp šifrovací algoritmus aes-256
    #
    ike návrh výchozí
    šifrovací algoritmus aes-256
    dh skupina2
    autentizační-algoritmus sha2-256
    autentizační metoda předsdílení
    integritní-algoritmus hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    jednoduchý předsdílený klíč <heslo pro ověření>
    local-id-type fqdn
    IP typu vzdáleného ID
    vzdálená adresa 62.141.99.183 –VPN hub Beeline
    schéma služeb IPSEC
    požadavek config-exchange
    config-exchange set přijmout
    config-exchange set send
    #
    profil ipsec ipsecprof
    ike-peer ipsec
    návrh ipsec
    #
    rozhraní Tunnel0/0/0
    Adresa IP 10.20.1.2 255.255.255.252 – Adresa tunelu
    tunelový protokol ipsec
    zdroj GigabitEthernet0/0/1 – Rozhraní pro přístup k internetu
    profil ipsec ipsecprof
    #
    Trasy do privátních sítí klienta přístupných přes koncentrátor Beeline VPN lze nastavit staticky

    IP route-static 192.168.0.0 255.255.255.0 Tunel0/0/0
    IP route-static 172.16.0.0 255.255.0.0 Tunel0/0/0

Výsledný komunikační diagram vypadá asi takto:

Jak se dostat do IPVPN Beeline přes IPSec. Část 1

Pokud klient nemá nějaké příklady základní konfigurace, pak většinou pomůžeme s jejich tvorbou a zpřístupníme je všem ostatním.

Zbývá pouze připojit CPE k internetu, pingnout na odpovědní část tunelu VPN a libovolného hostitele uvnitř VPN, a je to, můžeme předpokládat, že připojení bylo vytvořeno.

V příštím článku vám řekneme, jak jsme toto schéma zkombinovali s IPSec a MultiSIM Redundancy pomocí Huawei CPE: klientům instalujeme naše Huawei CPE, kteří mohou využívat nejen kabelový internetový kanál, ale také 2 různé SIM karty a CPE automaticky obnovuje IPSec tunel buď přes kabelovou WAN nebo přes rádio (LTE#1/LTE#2), čímž dosahuje vysoké odolnosti vůči chybám výsledné služby.

Zvláštní poděkování patří našim kolegům z RnD za přípravu tohoto článku (a vlastně i autorům těchto technických řešení)!

Zdroj: www.habr.com

Přidat komentář