ProHoster > Blog > Bestjoer > Hoe kinne jo nei IPVPN Beeline komme fia IPSec. Diel 1

Hoe kinne jo nei IPVPN Beeline komme fia IPSec. Diel 1

Hallo! YN foarige post Ik beskreau it wurk fan ús MultiSIM-tsjinst foar in part reservearrings и balancing kanalen. Lykas neamd, ferbine wy ​​kliïnten mei it netwurk fia VPN, en hjoed sil ik jo in bytsje mear fertelle oer VPN en ús mooglikheden yn dit diel.

It is de muoite wurdich om te begjinnen mei it feit dat wy, as telekomoperator, ús eigen enoarme MPLS-netwurk hawwe, dat foar klanten mei fêste line is ferdield yn twa haadsegminten - de iene dy't direkt wurdt brûkt om tagong te krijen ta it ynternet, en dejinge dy't is brûkt om isolearre netwurken te meitsjen - en it is troch dit MPLS-segment dat IPVPN (L3 OSI) en VPLAN (L2 OSI) ferkear streamt foar ús bedriuwskliïnten.

Hoe kinne jo nei IPVPN Beeline komme fia IPSec. Diel 1
Typysk komt in klantferbining as folgjend foar.

In tagongsline wurdt lein nei it kantoar fan 'e kliïnt fan' e tichtstbye Point of Presence fan it netwurk (knooppunt MEN, RRL, BSSS, FTTB, ensfh.) En fierder wurdt it kanaal registrearre fia it ferfiernetwurk nei de oerienkommende PE-MPLS router, wêrop wy it útfiere nei in spesjaal makke foar de VRF-kliïnt, rekken hâldend mei it ferkearsprofyl dat de klant nedich is (profyletiketten wurde selektearre foar elke tagongspoarte, basearre op de ip-foarrangswearden 0,1,3,5, XNUMX).

As wy om ien of oare reden de lêste myl net folslein kinne organisearje foar de klant, bygelyks it kantoar fan 'e klant leit yn in saaklik sintrum, wêr't in oare provider in prioriteit is, of wy hawwe gewoan net ús punt fan oanwêzigens yn 'e buert, dan earder kliïnten moast ferskate IPVPN-netwurken oanmeitsje by ferskate providers (net de meast kosten-effektive arsjitektuer) of selsstannich problemen oplosse mei it organisearjen fan tagong ta jo VRF oer it ynternet.

In protte diene dit troch it ynstallearjen fan in IPVPN ynternet gateway - se ynstallearre in grins router (hardware of guon Linux-basearre oplossing), ferbûn in IPVPN kanaal mei de iene poarte en in ynternet kanaal mei de oare, lansearre harren VPN tsjinner op it en ferbûn brûkers fia har eigen VPN-gateway. Fansels soarget sa'n regeling ek foar lêst: sa'n ynfrastruktuer moat boud wurde en, meast ûngemaklik, eksploitearre en ûntwikkele.

Om it libben makliker te meitsjen foar ús kliïnten, hawwe wy in sintralisearre VPN-hub ynstalleare en stipe organisearre foar ferbiningen oer it ynternet mei IPSec, dat is no kliïnten hoege no allinich har router te konfigurearjen om te wurkjen mei ús VPN-hub fia in IPSec-tunnel oer elk iepenbier ynternet , en wy Litte wy it ferkear fan dizze klant frijlitte oan syn VRF.

Wa sil it nuttich fine?

  • Foar dyjingen dy't al in grut IPVPN-netwurk hawwe en yn koarte tiid nije ferbiningen nedich binne.
  • Elkenien dy't, om ien of oare reden, in diel fan it ferkear fan it iepenbiere ynternet nei IPVPN oerdrage wol, mar earder technyske beheiningen tsjinkaam ferbûn mei ferskate tsjinstferlieners.
  • Foar dyjingen dy't op it stuit ferskate ferskillende VPN-netwurken hawwe oer ferskate telekomoperators. D'r binne kliïnten dy't IPVPN mei súkses hawwe organisearre fan Beeline, Megafon, Rostelecom, ensfh. Om it makliker te meitsjen, kinne jo allinich op ús single VPN bliuwe, alle oare kanalen fan oare operators oerskeakelje nei it ynternet, en dan ferbine mei Beeline IPVPN fia IPSec en it ynternet fan dizze operators.
  • Foar dyjingen dy't al in IPVPN-netwurk hawwe oerlein op it ynternet.

As jo ​​​​alles by ús ynsette, dan krije kliïnten folweardige VPN-stipe, serieuze ynfrastruktuer-redundânsje, en standertynstellingen dy't wurkje op elke router wêr't se wend binne oan (as it Cisco is, sels Mikrotik, it wichtichste is dat it goed kin stypje IPSec/IKEv2 mei standerdisearre autentikaasjemetoaden). Trouwens, oer IPSec - op it stuit stypje wy it allinich, mar wy binne fan plan in folsleine operaasje fan sawol OpenVPN as Wireguard te starten, sadat kliïnten net kinne ôfhinklik fan it protokol en it is noch makliker om alles nei ús te nimmen en oer te bringen, en wy wolle ek begjinne te ferbinen kliïnten út kompjûters en mobile apparaten (oplossings boud yn it OS, Cisco AnyConnect en strongSwan en it like). Mei dizze oanpak kin de de facto konstruksje fan 'e ynfrastruktuer feilich oerlevere wurde oan' e operator, wêrtroch allinich de konfiguraasje fan 'e CPE of host bliuwt.

Hoe wurket it ferbiningsproses foar IPSec-modus:

  1. De kliïnt lit in fersyk nei syn manager wêryn't hy de fereaske ferbiningssnelheid, ferkearsprofyl en IP-adresseringsparameters foar de tunnel oanjout (standert, in subnet mei in /30-masker) en it type routing (statysk as BGP). Om rûtes oer te bringen nei de lokale netwurken fan 'e kliïnt yn it ferbûne kantoar, wurde de IKEv2-meganismen fan' e IPSec-protokolfaze brûkt mei de passende ynstellings op 'e client-router, of se wurde advertearre fia BGP yn MPLS fan' e privee BGP AS spesifisearre yn 'e applikaasje fan 'e kliïnt. . Sa wurdt ynformaasje oer de rûtes fan kliïntnetwurken folslein kontrolearre troch de kliïnt fia de ynstellingen fan 'e client-router.
  2. As antwurd fan syn manager krijt de klant boekhâldgegevens foar opname yn syn VRF fan it formulier:
    • VPN-HUB IP-adres
    • login
    • Autentikaasje wachtwurd
  3. Konfigurearret CPE, hjirûnder, bygelyks, twa basiskonfiguraasjeopsjes:

    Opsje foar Cisco:
    crypto ikev2 kaairing BeelineIPsec_keyring
    peer Beeline_VPNHub
    adres 62.141.99.183 -VPN-hub Beeline
    pre-dielde kaai <Autentikaasje wachtwurd>
    !
    Foar de statyske routing-opsje kinne rûtes nei netwurken tagonklik fia de Vpn-hub wurde opjûn yn 'e IKEv2-konfiguraasje en se sille automatysk ferskine as statyske rûtes yn' e CE-routingtabel. Dizze ynstellings kinne ek makke wurde mei de standertmetoade foar it ynstellen fan statyske rûtes (sjoch hjirûnder).

    krypto ikev2 autorisaasjebelied FlexClient-auteur

    Rûte nei netwurken efter de CE router - in ferplichte ynstelling foar statyske routing tusken CE en PE. De oerdracht fan rûtegegevens nei de PE wurdt automatysk útfierd as de tunnel wurdt ferhege troch IKEv2-ynteraksje.

    route set remote ipv4 10.1.1.0 255.255.255.0 - Lokale kantoarnetwurk
    !
    krypto ikev2 profyl BeelineIPSec_profile
    identiteit lokale <login>
    autentikaasje lokale pre-share
    autentikaasje op ôfstân pre-share
    keyring lokale BeelineIPsec_keyring
    aaa autorisaasjegroep psk list groep-auteur-list FlexClient-auteur
    !
    crypto ikev2 client flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    client ferbine Tunnel1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    mode tunnel
    !
    crypto ipsec profyl standert
    set transform-set TRANSFORM1
    set ikev2-profyl BeelineIPSec_profile
    !
    ynterface Tunnel1
    * (10.20.1.2 - 255.255.255.252) IP Adres (Frysk) 🔍 - Tunneladres
    tunnel boarne GigabitEthernet0/2 - Ynternet tagong ynterface
    tunnelmodus ipsec ipv4
    tunnel bestimming dynamysk
    tunnel beskerming ipsec profyl standert
    !
    Rûten nei de partikuliere netwurken fan 'e kliïnt tagonklik fia de Beeline VPN-konsintrator kinne statysk ynsteld wurde.

    IP route 172.16.0.0 255.255.0.0 Tunnel1
    IP route 192.168.0.0 255.255.255.0 Tunnel1

    Opsje foar Huawei (ar160/120):
    ike lokale namme <login>
    #
    acl namme ipsec 3999
    regel 1 tastean ip boarne 10.1.1.0 0.0.0.255 - Lokale kantoarnetwurk
    #
    aaa
    tsjinst-skema IPSEC
    route set acl 3999
    #
    ipsec foarstel ipsec
    esp autentikaasje-algoritme sha2-256
    esp fersifering-algoritme aes-256
    #
    ike foarstel standert
    fersifering-algoritme aes-256
    dh groep 2
    autentikaasje-algoritme sha2-256
    autentikaasje-metoade pre-share
    yntegriteit-algoritme hmac-sha2-256
    prf hmac-sha2-256
    #
    ik peer ipsec
    pre-dielde kaai ienfâldich <Autentikaasjewachtwurd>
    local-id-type fqdn
    remote-id-type ip
    remote-adres 62.141.99.183 -VPN-hub Beeline
    tsjinst-skema IPSEC
    config-útwikseling fersyk
    config-exchange set akseptearje
    config-útwikseling set ferstjoere
    #
    ipsec profyl ipsecprof
    ike-peer ipsec
    foarstel ipsec
    #
    ynterface Tunnel0/0/0
    * (10.20.1.2 - 255.255.255.252) IP Adres (Frysk) 🔍 - Tunneladres
    tunnel-protokol ipsec
    boarne GigabitEthernet0/0/1 - Ynternet tagong ynterface
    ipsec profyl ipsecprof
    #
    Rûten nei de partikuliere netwurken fan 'e kliïnt tagonklik fia de Beeline VPN-konsintrator kinne statysk ynsteld wurde

    ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

It resultearjende kommunikaasjediagram sjocht der sa út:

Hoe kinne jo nei IPVPN Beeline komme fia IPSec. Diel 1

As de kliïnt gjin foarbylden hat fan 'e basiskonfiguraasje, dan helpe wy gewoanlik mei har formaasje en meitsje se beskikber foar elkenien.

Alles wat oerbliuwt is de CPE te ferbinen mei it ynternet, ping nei it antwurddiel fan 'e VPN-tunnel en elke host yn' e VPN, en dat is it, wy kinne oannimme dat de ferbining makke is.

Yn it folgjende artikel sille wy jo fertelle hoe't wy dit skema kombineare mei IPSec en MultiSIM Redundancy mei Huawei CPE: wy ynstallearje ús Huawei CPE foar kliïnten, dy't net allinich in bedrade ynternetkanaal kinne brûke, mar ek 2 ferskillende SIM-kaarten, en de CPE automatysk werbout IPSec- tunnel itsij fia bedrade WAN of fia radio (LTE # 1 / LTE # 2), realisearje hege skuld tolerânsje fan de resultearjende tsjinst.

Spesjale tank oan ús RnD-kollega's foar it tarieden fan dit artikel (en, yn feite, oan de auteurs fan dizze technyske oplossingen)!

Boarne: www.habr.com

Add a comment