ProHoster > Blogi > antaminen > Kuinka päästä IPVPN Beelineen IPSecin kautta. Osa 1

Kuinka päästä IPVPN Beelineen IPSecin kautta. Osa 1

Hei! SISÄÄN edellinen postaus Kuvasin MultiSIM-palvelumme toimintaa osittain varauksia и tasapainottaa kanavia. Kuten mainittiin, yhdistämme asiakkaat verkkoon VPN:n kautta, ja tänään kerron sinulle hieman enemmän VPN:stä ja ominaisuuksistamme tässä osassa.

Kannattaa aloittaa siitä, että meillä teleoperaattorina on oma valtava MPLS-verkkomme, joka kiinteän verkon asiakkaille on jaettu kahteen pääsegmenttiin - siihen, jota käytetään suoraan Internetiin pääsyyn, ja siihen, joka on käytetään erillisten verkkojen luomiseen – ja juuri tämän MPLS-segmentin kautta IPVPN (L3 OSI) ja VPLAN (L2 OSI) liikenne kulkee yritysasiakkaillemme.

Kuinka päästä IPVPN Beelineen IPSecin kautta. Osa 1
Tyypillisesti asiakasyhteys tapahtuu seuraavasti.

Asiakkaan toimistoon vedetään liittymä lähimmästä verkon läsnäolopisteestä (solmu MEN, RRL, BSSS, FTTB jne.) ja edelleen kanava rekisteröidään kuljetusverkon kautta vastaavaan PE-MPLS:ään. reititin, jolla lähetämme sen erityisesti VRF-asiakkaalle luotuun, ottaen huomioon asiakkaan tarvitseman liikenneprofiilin (profiilitunnisteet valitaan jokaiselle pääsyportille IP-ensisijaisuusarvojen 0,1,3,5 perusteella, XNUMX).

Jos emme jostain syystä pysty järjestämään asiakkaalle täysin viimeistä mailia, esimerkiksi asiakkaan toimisto sijaitsee yrityskeskuksessa, jossa toinen palveluntarjoaja on etusijalla tai meillä ei yksinkertaisesti ole läsnäolopistettämme lähellä, niin aikaisemmat asiakkaat piti luoda useita IPVPN-verkkoja eri palveluntarjoajille (ei kustannustehokkain arkkitehtuuri) tai ratkaista itsenäisesti ongelmia VRF:n pääsyn järjestämisessä Internetin kautta.

Monet tekivät tämän asentamalla IPVPN-Internet-yhdyskäytävän - he asensivat rajareitittimen (laitteiston tai jonkin Linux-pohjaisen ratkaisun), yhdistivät siihen IPVPN-kanavan toisella portilla ja Internet-kanavan toisella, käynnistivät VPN-palvelimensa siihen ja muodostivat yhteyden. käyttäjiä oman VPN-yhdyskäytävänsä kautta. Luonnollisesti tällainen järjestelmä luo myös rasituksia: tällaista infrastruktuuria on rakennettava ja mikä epämukavinta, sitä on käytettävä ja kehitettävä.

Helpottaaksemme asiakkaidemme elämää asensimme keskitetyn VPN-keskittimen ja järjestimme tuen Internet-yhteyksille IPSecillä, eli nyt asiakkaiden tarvitsee vain määrittää reitittimensä toimimaan VPN-keskittimen kanssa IPSec-tunnelin kautta minkä tahansa julkisen Internetin kautta. , ja vapautetaan tämän asiakkaan liikenne sen VRF:ään.

Kuka tarvitsee

  • Niille, joilla on jo laaja IPVPN-verkko ja jotka tarvitsevat uusia yhteyksiä lyhyessä ajassa.
  • Jokainen, joka jostain syystä haluaa siirtää osan liikenteestä julkisesta Internetistä IPVPN:ään, mutta on aiemmin törmännyt useisiin palveluntarjoajiin liittyviin teknisiin rajoituksiin.
  • Niille, joilla on tällä hetkellä useita eri VPN-verkkoja eri teleoperaattoreiden välillä. On asiakkaita, jotka ovat onnistuneesti järjestäneet IPVPN:n Beelineltä, Megafonilta, Rostelecomilta jne. Helpottaaksesi voit pysyä vain yhdellä VPN:llämme, vaihtaa muiden operaattoreiden kaikki muut kanavat Internetiin ja muodostaa sitten yhteyden Beeline IPVPN:ään IPSecin kautta ja näiden operaattoreiden Internetin kautta.
  • Niille, joilla on jo IPVPN-verkko Internetissä.

Jos otat kaiken käyttöön kanssamme, asiakkaat saavat täysimittaisen VPN-tuen, vakavan infrastruktuurin redundanssin ja vakioasetukset, jotka toimivat missä tahansa reitittimessä, johon he ovat tottuneet (oli se sitten Cisco, jopa Mikrotik, pääasia, että se tukee kunnolla IPSec/IKEv2 standardoiduilla todennusmenetelmillä). Muuten, IPSecistä - juuri nyt tuemme sitä, mutta aiomme käynnistää sekä OpenVPN:n että Wireguardin täysimittaisen toiminnan, jotta asiakkaat eivät voi olla riippuvaisia ​​protokollasta ja on vielä helpompi ottaa ja siirtää kaikki meille, ja haluamme myös aloittaa asiakkaiden yhdistämisen tietokoneista ja mobiililaitteista (käyttöjärjestelmään sisäänrakennetut ratkaisut, Cisco AnyConnect ja strongSwan ja vastaavat). Tällä lähestymistavalla infrastruktuurin tosiasiallinen rakentaminen voidaan turvallisesti luovuttaa operaattorille, jolloin jäljelle jää vain CPE:n tai isännän konfiguraatio.

Kuinka yhteysprosessi toimii IPSec-tilassa:

  1. Asiakas jättää esimiehelleen pyynnön, jossa hän ilmoittaa vaaditun yhteysnopeuden, liikenneprofiilin ja tunnelin IP-osoiteparametrit (oletusarvoisesti aliverkko /30-maskilla) ja reititystyypin (staattinen tai BGP). Reittien siirtämiseksi asiakkaan paikallisverkkoihin yhdistetyssä toimistossa käytetään IPSec-protokollavaiheen IKEv2-mekanismeja asiakasreitittimen sopivilla asetuksilla tai ne mainostetaan BGP:n kautta MPLS:ssä asiakkaan sovelluksessa määritetystä yksityisestä BGP AS:sta. . Näin ollen asiakas hallitsee täysin asiakasverkkojen reittejä koskevia tietoja asiakasreitittimen asetusten kautta.
  2. Vastauksena johtajaltaan asiakas saa kirjanpitotiedot sisällytettäväksi lomakkeen VRF:ään:
    • VPN-HUB IP-osoite
    • kirjautuminen
    • Todennuksen salasana
  3. Konfiguroi CPE:n alla esimerkiksi kaksi perusasetusvaihtoehtoa:

    Vaihtoehto Ciscolle:
    krypto ikev2 avaimenperä BeelineIPsec_keyring
    vertaisversio Beeline_VPNHub
    osoite 62.141.99.183 -VPN-keskitin Beeline
    pre-shared-key <Todennussalasana>
    !
    Staattiselle reititysvaihtoehdolle reitit Vpn-keskittimen kautta saavutettaviin verkkoihin voidaan määrittää IKEv2-kokoonpanossa ja ne näkyvät automaattisesti staattisina reiteinä CE-reititystaulukossa. Nämä asetukset voidaan tehdä myös käyttämällä staattisten reittien vakioasetustapaa (katso alla).

    krypto ikev2 valtuutuskäytäntö FlexClient-author

    Reititä verkkoihin CE-reitittimen takana – pakollinen asetus staattista reititystä varten CE:n ja PE:n välillä. Reittitietojen siirto PE:lle tapahtuu automaattisesti, kun tunneli nostetaan IKEv2-vuorovaikutuksen kautta.

    reitti asetettu kauko-ipv4 10.1.1.0 255.255.255.0 – Toimiston paikallisverkko
    !
    krypto ikev2 -profiili BeelineIPSec_profile
    identiteetti paikallinen <kirjautuminen>
    todennus paikallinen ennakkojako
    todennuksen etäesijako
    avainrengas paikallinen BeelineIPsec_keyring
    aaa valtuutusryhmä psk-lista ryhmä-author-list FlexClient-author
    !
    krypto ikev2 -asiakas flexvpn BeelineIPsec_flex
    vertaisversio 1 Beeline_VPNHub
    asiakasyhteys Tunnel1
    !
    krypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    tunnelitila
    !
    crypto ipsec -profiilin oletusasetus
    set transform-set TRANSFORM1
    aseta ikev2-profiili BeelineIPSec_profile
    !
    käyttöliittymä Tunnel1
    ip-osoite 10.20.1.2 255.255.255.252 – Tunnelin osoite
    tunnelilähde GigabitEthernet0/2 – Internet-käyttöliittymä
    tunnelitila ipsec ipv4
    tunnelin määränpään dynaaminen
    tunnelin suojaus ipsec-profiilin oletusarvo
    !
    Reitit asiakkaan yksityisiin verkkoihin, joihin pääsee Beeline VPN -keskittimen kautta, voidaan asettaa staattisesti.

    ip-reitti 172.16.0.0 255.255.0.0 Tunneli1
    ip-reitti 192.168.0.0 255.255.255.0 Tunneli1

    Vaihtoehto Huaweille (ar160/120):
    kuten paikallinen-nimi <kirjautuminen>
    #
    acl-nimi ipsec 3999
    sääntö 1 salli IP-lähteen 10.1.1.0 0.0.0.255 – Toimiston paikallisverkko
    #
    aaa
    palvelujärjestelmä IPSEC
    reitti asetettu acl 3999
    #
    ipsec-ehdotus ipsec
    esp-todennus-algoritmi sha2-256
    esp salausalgoritmi aes-256
    #
    kuten oletusehdotus
    salausalgoritmi aes-256
    dh ryhmä 2
    todennusalgoritmi sha2-256
    todennusmenetelmän ennakkojako
    eheys-algoritmi hmac-sha2-256
    prf hmac-sha2-256
    #
    kuten peer ipsec
    esijaettu avain yksinkertainen <todennussalasana>
    local-id-type fqdn
    remote-id-type ip
    etäosoite 62.141.99.183 -VPN-keskitin Beeline
    palvelujärjestelmä IPSEC
    asetusten vaihtopyyntö
    config-vaihtosarja hyväksyä
    config-change set lähetä
    #
    ipsec-profiili ipsecprof
    ike-peer ipsec
    ehdotus ipsec
    #
    rajapinta Tunnel0/0/0
    ip-osoite 10.20.1.2 255.255.255.252 – Tunnelin osoite
    tunneliprotokolla ipsec
    lähde GigabitEthernet0/0/1 – Internet-käyttöliittymä
    ipsec-profiili ipsecprof
    #
    Reitit asiakkaan yksityisiin verkkoihin, joihin pääsee Beeline VPN -keskittimen kautta, voidaan asettaa staattisesti

    ip reitti-staattinen 192.168.0.0 255.255.255.0 Tunneli0/0/0
    ip reitti-staattinen 172.16.0.0 255.255.0.0 Tunneli0/0/0

Tuloksena oleva viestintäkaavio näyttää suunnilleen tältä:

Kuinka päästä IPVPN Beelineen IPSecin kautta. Osa 1

Jos asiakkaalla ei ole esimerkkejä peruskokoonpanosta, autamme yleensä niiden muodostamisessa ja tarjoamme ne kaikkien muiden saataville.

Jäljelle jää vain CPE:n yhdistäminen Internetiin, ping VPN-tunnelin vastausosaan ja mihin tahansa VPN:n sisällä olevaan isäntään, ja siinä kaikki, voimme olettaa, että yhteys on muodostettu.

Seuraavassa artikkelissa kerromme, kuinka yhdistämme tämän järjestelmän IPSec- ja MultiSIM-redundanssiin käyttämällä Huawei CPE:tä: asennamme asiakkaillemme Huawei CPE:n, joka voi käyttää langallisen Internet-kanavan lisäksi myös kahta eri SIM-korttia ja CPE:tä. rakentaa automaattisesti IPSec-tunnelin uudelleen joko langallisen WAN-verkon tai radion (LTE#2/LTE#1) kautta, mikä takaa palvelun korkean vikasietoisuuden.

Erityiset kiitokset RnD-kollegoillemme tämän artikkelin valmistelusta (ja itse asiassa näiden teknisten ratkaisujen tekijöille)!

Lähde: will.com

Lisää kommentti