Il existe encore étonnamment peu de matériel sur RuNet sur une technologie aussi ancienne et simple, mais pratique, sûre et particulièrement pertinente en relation avec le développement de l'Internet des objets, comme le VPN mobile (réseau privé virtuel). Dans cet article, je vais décrire comment et pourquoi vous pouvez configurer l'accès à votre réseau privé pour n'importe quel appareil doté d'une carte SIM sans avoir besoin de configurer un logiciel spécialisé dessus.
Objectifs et limites
Tout d’abord, je répondrai à la question « pourquoi ? » Le VPN en tant que technologie est utilisé pour résoudre une variété de problèmes de réseau, unis par une caractéristique commune : le transfert de données isolé entre deux appareils via un grand nombre de nœuds intermédiaires. Sur cette base, des solutions plus complexes sont déjà en cours d'élaboration et divers problèmes sont résolus. Dans le cas habituel et familier, le réseau d’un opérateur de téléphonie fixe est utilisé pour construire un VPN (pour ceux que cela intéresse, voir ) ou de nombreux protocoles réseau différents (GRE, IPSec, L2TP et autres - le même auteur ) et les produits logiciels fonctionnant avec eux (Cisco AnyConnect, OpenVPN, TOR - vous le savez vous-même), mais leur utilisation sur un appareil final spécifique lui impose immédiatement un certain nombre d'exigences, dont le non-respect entraîne certaines restrictions.
La première limitation sérieuse est que l'appareil doit être capable de fonctionner avec au moins un de ces protocoles au niveau matériel et logiciel. Le plus souvent, cela est déterminé par un logiciel facile à trouver pour un ordinateur portable ou un smartphone, mais il arrive parfois que la tâche soit confrontée à un appareil trop simple d'un point de vue matériel, ou que son logiciel ait des limites : le compteur d'eau. veut utiliser un VPN pour transmettre son malheureux octet de lectures une fois par mois, pas moins que vous ne souhaitez utiliser un VPN pour modifier votre profil LinkedIn.
Une autre limitation importante est la nécessité de personnalisation. Cela fonctionne aussi bien pour les appareils « stupides » dès le premier point, que pour les smartphones et ordinateurs classiques qui ne connaissent pas la limitation précédente. Et si avec le premier tout est relativement simple et dépend du temps passé à la configuration, alors avec le second il existe des options. Souvent, les organisations utilisent un VPN à des fins de sécurité pour empêcher un point de terminaison de service d'accéder à un réseau public sans protection d'entreprise appropriée ou de transmettre des données de service sur des canaux publics. Les utilisateurs finaux peuvent, pour une raison quelconque, désactiver ou oublier d’activer le VPN, ce qui risque de laisser de nombreux systèmes de sécurité de l’entreprise de côté.
Ces deux restrictions sont facilement supprimées si l'accès VPN est fourni au niveau du réseau. Dans le cas des communications mobiles, cela peut être réalisé en utilisant un « VPN mobile ». Un appareil de toute complexité capable de transmettre des données les transmettra au bon réseau. Quels que soient les paramètres définis sur l'appareil, avec un réseau correctement configuré, il les transférera dans tous les cas là où ils sont nécessaires et nulle part ailleurs.
Et en prime, l'appareil recevra une adresse du réseau interne, configurée à distance, et il ne sera possible d'y accéder que depuis ce réseau (ou physiquement). Pour une certaine classe d'appareils, cela est très important.
Comment ça marche
Noyau PS
Il semblerait que le VPN soit un service classique de tous les opérateurs télécoms pour le segment B2B, et pourquoi, dans ce cas, se concentrer là-dessus ? Tout dépend de la façon dont le réseau de données est conçu pour les appareils connectés via GPRS, HSPA, LTE ou autre technologie de communication mobile. Il n'y a pas de VLAN familiers à tous les administrateurs réseau, il n'y a pas de commutateurs, il n'y a même pas de routeurs dans leur sens habituel. Mais il existe un réseau d'accès radio (RAN) et un cœur de paquets (PS Core).
Schéma simplifié du réseau de paquets d'un opérateur mobile. C'est un peu différent pour le LTE, mais l'idée générale est la même.
En général, chaque appareil doté d'une carte SIM enregistrée dans le réseau paquet (ayant passé la procédure d'attachement GPRS ou similaire), avant de commencer à transférer des données n'importe où, doit initier la création d'une session de transfert de données (contexte PDP) sur le cœur du réseau paquet. routeur, GGSN. Les détails et le but de ces processus sont très bien décrits dans . Ce qui est important pour nous : lors du lancement d'une session, la demande à GGSN comprend, entre autres, des paramètres que beaucoup ont vus sur leur téléphone ou même traités lors de la configuration, par exemple, de modems USB. Il s'agit de trois champs : APN, login et mot de passe. L'APN (point d'accès) est une entité très importante dans la logique du GGSN : selon l'APN avec lequel la session a été initiée, le GGSN agit différemment. À la suite du traitement réussi de la demande de l'utilisateur, le GGSN doit activer une session de transfert de données et informer l'appareil de ses paramètres, notamment l'adresse IP et les adresses DNS délivrées à l'appareil. Il y a ici un certain nombre de fonctionnalités très importantes :
- Lors de la demande d'ouverture d'une session, l'appareil ne demande jamais quelle adresse IP il souhaite recevoir ;
- En plus des champs « APN », « login » et « mot de passe » spécifiés dans les paramètres de l'appareil, la demande adressée à GGSN transmet également le numéro de téléphone (MSISDN) de l'abonné (ci-après « abonné » est l'utilisateur final, un appareil avec une carte SIM, et « client » est l'organisation qui a commandé le service, qui inclut les abonnés) ;
- Lorsqu'une session est activée, le GGSN crée une entrée dans sa table de routage concernant une nouvelle adresse IP. Tous les abonnés sur le GGSN sont identifiés par des entrées dans la table de routage avec le préfixe /32, c'est-à-dire 1 abonné - 1 entrée dans le tableau. GGSN est un routeur très performant ;
- Le réseau de l'opérateur peut, à différentes étapes (aussi bien sur le SGSN que sur le GGSN) pour diverses raisons, modifier le champ APN dans la demande d'ouverture de session. Cela permet, dans certains cas, de réduire, voire d'éliminer complètement, la configuration des paramètres réseau sur les appareils dotés d'une carte SIM.
Concernant les trois premiers points, la question se pose immédiatement : quel type d'adresse IP est délivrée à l'abonné ?
Ceci est déterminé par les paramètres de l'APN d'où provient la demande d'activation de la session. Environ 99 % des utilisateurs de données sur les réseaux mobiles utilisent un accès Internet régulier. Il s'agit de points d'accès bien connus internet.mts.ru, internet.beeline.ru, etc. Dans le cas de l'accès à Internet, GGSN émet des adresses basées sur le principe DHCP classique à partir des sous-réseaux gris spécifiés dans les paramètres. Lors de leur entrée sur le réseau public, ils sont fermés par le NAT classique (ou plutôt sa version qui est PAT).
Mais GGSN est capable de bien plus. Pour sélectionner une adresse IP, il peut faire une requête AAA au serveur d'autorisation (Radius par exemple). Cette logique est configurée pour les APN individuels en fonction de leur objectif. Le cas le plus simple est un service permettant de fournir une adresse IP publique permanente. En règle générale, ces adresses sont attribuées aux abonnés dans le système de facturation (BSS) de l'opérateur et, selon l'architecture informatique, elles se retrouvent dans l'une ou l'autre base de données, à laquelle GGSN s'adresse avec une demande. Du fait qu'il connaît le MSISDN (numéro de téléphone) de l'abonné, qui sera contenu dans la demande, une telle base de données sera assez simple et ne pourra contenir qu'une combinaison de numéro et d'adresse. De plus, si le client envisage d'utiliser une carte SIM pour connecter plusieurs appareils (si la carte SIM se trouve dans le routeur WiFi d'un bureau distant, par exemple), ce tableau peut également contenir ce que l'on appelle « l'itinéraire encadré » - le préfixe du réseau situé « derrière la carte SIM, qui sera annoncé à tous les appareils du réseau à l'aide de protocoles de routage dynamique.
Pas GGSN seul
En plus de délivrer des adresses, il est également nécessaire d'acheminer le trafic des abonnés vers les réseaux clients, chacun le sien. Ici, tout fonctionne de manière beaucoup plus traditionnelle. Sur GGSN, le trafic des APN spécialisés pour travailler avec les VPN est acheminé vers un routeur distinct dans le réseau de l'opérateur (il peut être appelé différemment, parfois appelé routeur VPN), qui à son tour remplit la fonction d'un PE classique dans le schéma L3VPN. Il ajoute les étiquettes, les en-têtes nécessaires, et c'est tout, et envoie l'intégralité de ce flux de trafic via les routeurs du réseau de transport vers des jonctions ou des tunnels préconfigurés vers le réseau du client. Cette partie est déjà beaucoup plus traditionnelle et a été décrite à plusieurs reprises ailleurs, je ne m'y concentrerai donc pas dans ce document.
En prenant en compte tous ces détails, il peut y avoir plusieurs manières d'organiser un VPN mobile, et elles différeront les unes des autres par une combinaison des caractéristiques suivantes :
- Les adresses IP, comme déjà décrit, peuvent être émises de manière dynamique (à chaque fois une adresse différente d'un sous-réseau donné) et de manière statique (à chaque fois la même adresse pour un abonné spécifique), qui est déterminée soit par les paramètres APN et/ou par le serveur Radius. paramètres ;
- Les adresses IP peuvent être émises par un serveur Radius sous le contrôle de l'opérateur ou sous le contrôle du client ;
- Les appareils connectés à un VPN mobile peuvent soit interagir uniquement entre eux, soit avoir accès au réseau L3VPN habituel du client via une connexion directe (port VPN) avec l'opérateur ou via un tunneling sur Internet ;
- Dans certains cas, l'utilisation d'un identifiant et d'un mot de passe peut être requise pour réussir l'activation d'une session, et parfois il n'est même pas nécessaire de remplir le champ « APN ».
Il existe plusieurs dizaines de telles combinaisons avec différents types de tunneling, l'équilibrage du trafic entre les canaux d'accès au client VPN « principal » et le principe d'émission d'adresses. Dans la plupart des cas, le schéma général ressemble à ceci :
En conséquence, après un processus assez rapide d’enregistrement sur le réseau et d’obtention d’une adresse IP, l’appareil accède au réseau du client et le réseau du client accède à l’appareil. Dans ce cas, l'abonné est isolé de tous les autres abonnés de l'opérateur qui ne sont pas liés à un client spécifique, il ne nécessite aucun réglage supplémentaire et tout le trafic est dirigé sans alternative vers le réseau du client, où il est traité conformément avec les politiques internes du client.
Source: habr.com
