ProHoster > blog > administrasi > Cara menuju Beeline IPVPN melalui IPSec. Bagian 1

Cara menuju Beeline IPVPN melalui IPSec. Bagian 1

Halo! DI DALAM posting sebelumnya Saya menjelaskan sebagian pekerjaan layanan MultiSIM kami reservasi ΠΈ menyeimbangkan saluran. Seperti disebutkan, kami menghubungkan klien ke jaringan melalui VPN, dan hari ini saya akan memberi tahu Anda lebih banyak tentang VPN dan kemampuan kami di bagian ini.

Ada baiknya dimulai dengan fakta bahwa kami, sebagai operator telekomunikasi, memiliki jaringan MPLS kami sendiri yang besar, yang untuk pelanggan telepon tetap dibagi menjadi dua segmen utama - segmen yang digunakan langsung untuk mengakses Internet, dan segmen yang digunakan langsung untuk mengakses Internet, dan segmen yang digunakan secara langsung untuk mengakses Internet. digunakan untuk membuat jaringan terisolasi β€” dan melalui segmen MPLS inilah lalu lintas IPVPN (L3 OSI) dan VPLAN (L2 OSI) mengalir untuk klien korporat kami.

Cara menuju Beeline IPVPN melalui IPSec. Bagian 1
Biasanya, koneksi klien terjadi sebagai berikut.

Jalur akses dipasang ke kantor klien dari Titik Kehadiran jaringan terdekat (node ​​MEN, RRL, BSSS, FTTB, dll.) dan selanjutnya saluran didaftarkan melalui jaringan transportasi ke PE-MPLS yang sesuai router, di mana kami mengeluarkannya ke klien VRF yang dibuat khusus, dengan mempertimbangkan profil lalu lintas yang dibutuhkan klien (label profil dipilih untuk setiap port akses, berdasarkan nilai prioritas ip 0,1,3,5, XNUMX).

Jika karena alasan tertentu kami tidak dapat sepenuhnya mengatur last mile untuk klien, misalnya, kantor klien berlokasi di pusat bisnis, di mana penyedia lain menjadi prioritas, atau kami tidak memiliki titik kehadiran terdekat, maka sebelumnya klien harus membuat beberapa jaringan IPVPN di penyedia yang berbeda (bukan arsitektur yang paling hemat biaya) atau secara mandiri menyelesaikan masalah dengan mengatur akses ke VRF Anda melalui Internet.

Banyak yang melakukan ini dengan memasang gateway Internet IPVPN - mereka memasang router perbatasan (perangkat keras atau solusi berbasis Linux), menghubungkan saluran IPVPN ke sana dengan satu port dan saluran Internet dengan port lainnya, meluncurkan server VPN mereka di sana dan terhubung pengguna melalui gateway VPN mereka sendiri. Tentu saja, skema seperti ini juga menimbulkan beban: infrastruktur seperti itu harus dibangun dan, yang paling merepotkan, harus dioperasikan dan dikembangkan.

Untuk membuat hidup lebih mudah bagi klien kami, kami memasang hub VPN terpusat dan mengatur dukungan untuk koneksi melalui Internet menggunakan IPSec, yaitu, sekarang klien hanya perlu mengkonfigurasi router mereka untuk bekerja dengan hub VPN kami melalui terowongan IPSec melalui Internet publik mana pun , dan mari kita lepaskan lalu lintas klien ini ke VRF-nya.

Siapa yang akan membutuhkan

  • Bagi yang sudah memiliki jaringan IPVPN besar dan membutuhkan koneksi baru dalam waktu singkat.
  • Siapa pun yang, karena alasan tertentu, ingin mentransfer sebagian lalu lintas dari Internet publik ke IPVPN, namun sebelumnya mengalami keterbatasan teknis terkait dengan beberapa penyedia layanan.
  • Bagi mereka yang saat ini memiliki beberapa jaringan VPN berbeda di berbagai operator telekomunikasi. Ada klien yang berhasil mengatur IPVPN dari Beeline, Megafon, Rostelecom, dll. Untuk membuatnya lebih mudah, Anda hanya dapat menggunakan VPN tunggal kami, mengalihkan semua saluran lain dari operator lain ke Internet, lalu menyambung ke Beeline IPVPN melalui IPSec dan Internet dari operator ini.
  • Bagi yang sudah memiliki jaringan IPVPN yang di-overlay di Internet.

Jika Anda menyebarkan semuanya bersama kami, maka klien menerima dukungan VPN lengkap, redundansi infrastruktur yang serius, dan pengaturan standar yang akan berfungsi pada router apa pun yang biasa mereka gunakan (baik itu Cisco, bahkan Mikrotik, yang utama adalah dapat mendukung dengan baik IPSec/IKEv2 dengan metode otentikasi standar). Ngomong-ngomong, tentang IPSec - saat ini kami hanya mendukungnya, tetapi kami berencana meluncurkan operasi penuh OpenVPN dan Wireguard, sehingga klien tidak dapat bergantung pada protokol dan lebih mudah lagi untuk mengambil dan mentransfer semuanya kepada kami, dan kami juga ingin mulai menghubungkan klien dari komputer dan perangkat seluler (solusi yang dibangun ke dalam OS, Cisco AnyConnect dan strongSwan dan sejenisnya). Dengan pendekatan ini, pembangunan infrastruktur secara de facto dapat diserahkan dengan aman kepada operator, hanya menyisakan konfigurasi CPE atau host.

Bagaimana cara kerja proses koneksi untuk mode IPSec:

  1. Klien meninggalkan permintaan kepada manajernya di mana ia menunjukkan kecepatan koneksi yang diperlukan, profil lalu lintas dan parameter pengalamatan IP untuk terowongan (secara default, subnet dengan mask /30) dan jenis perutean (statis atau BGP). Untuk mentransfer rute ke jaringan lokal klien di kantor yang terhubung, mekanisme IKEv2 dari fase protokol IPSec digunakan menggunakan pengaturan yang sesuai pada router klien, atau diiklankan melalui BGP di MPLS dari BGP AS pribadi yang ditentukan dalam aplikasi klien . Dengan demikian, informasi tentang rute jaringan klien sepenuhnya dikontrol oleh klien melalui pengaturan router klien.
  2. Sebagai tanggapan dari manajernya, klien menerima data akuntansi untuk dimasukkan dalam VRF-nya dalam bentuk:
    • Alamat IP VPN-HUB
    • Login
    • Kata sandi otentikasi
  3. Mengonfigurasi CPE, di bawah, misalnya, dua opsi konfigurasi dasar:

    Opsi untuk Cisco:
    gantungan kunci kripto ikev2 BeelineIPsec_keyring
    rekan Beeline_VPNHub
    alamat 62.141.99.183 –Hub VPN Langsung menuju
    kunci yang dibagikan sebelumnya <Kata sandi otentikasi>
    !
    Untuk opsi perutean statis, rute ke jaringan yang dapat diakses melalui hub Vpn dapat ditentukan dalam konfigurasi IKEv2 dan secara otomatis akan muncul sebagai rute statis dalam tabel perutean CE. Pengaturan ini juga dapat dilakukan dengan menggunakan metode standar pengaturan rute statis (lihat di bawah).

    kebijakan otorisasi crypto ikev2 Penulis FlexClient

    Rute ke jaringan di belakang router CE – pengaturan wajib untuk perutean statis antara CE dan PE. Transfer data rute ke PE dilakukan secara otomatis saat terowongan dinaikkan melalui interaksi IKEv2.

    set rute jarak jauh ipv4 10.1.1.0 255.255.255.0 –Jaringan lokal kantor
    !
    profil kripto ikev2 BeelineIPSec_profile
    identitas lokal <login>
    otentikasi pra-berbagi lokal
    otentikasi pra-berbagi jarak jauh
    gantungan kunci BeelineIPsec_keyring lokal
    aaa grup otorisasi daftar psk grup-penulis-daftar FlexClient-penulis
    !
    klien kripto ikev2 flexvpn BeelineIPsec_flex
    rekan 1 Beeline_VPNHub
    klien menghubungkan Tunnel1
    !
    kripto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    terowongan modus
    !
    profil profil kripto IPSec default
    atur transformasi-atur TRANSFORM1
    atur profil ikev2 BeelineIPSec_profile
    !
    antarmuka Tunnel1
    alamat ip 10.20.1.2 255.255.255.252 –Alamat terowongan
    sumber terowongan GigabitEthernet0/2 –Antarmuka akses internet
    mode terowongan ipsec ipv4
    tujuan terowongan dinamis
    perlindungan terowongan profil IPSec default
    !
    Rute ke jaringan pribadi klien yang dapat diakses melalui konsentrator Beeline VPN dapat diatur secara statis.

    rute ip 172.16.0.0 255.255.0.0 Tunnel1
    rute ip 192.168.0.0 255.255.255.0 Tunnel1

    Opsi untuk Huawei (ar160/120):
    seperti nama lokal <login>
    #
    nama acl ipsec 3999
    aturan 1 mengizinkan sumber ip 10.1.1.0 0.0.0.255 –Jaringan lokal kantor
    #
    aaa
    skema layanan IPSEC
    rute ditetapkan acl 3999
    #
    usulan ipsec ipsec
    esp algoritma otentikasi sha2-256
    esp algoritma enkripsi aes-256
    #
    seperti proposal default
    algoritma enkripsi aes-256
    dh grup2
    algoritma otentikasi sha2-256
    pra-pembagian metode autentikasi
    algoritma integritas hmac-sha2-256
    prf hmac-sha2-256
    #
    seperti rekan IPSec
    kunci pra-berbagi sederhana <Kata sandi otentikasi>
    fqdn tipe id lokal
    ip tipe id jarak jauh
    alamat jarak jauh 62.141.99.183 –Hub VPN Langsung menuju
    skema layanan IPSEC
    permintaan pertukaran konfigurasi
    set pertukaran konfigurasi diterima
    config-pertukaran mengatur pengiriman
    #
    profil ipsec ipsecprof
    ike-rekan IPSec
    usulan IPSec
    #
    antarmuka Tunnel0/0/0
    alamat ip 10.20.1.2 255.255.255.252 –Alamat terowongan
    protokol terowongan ipsec
    sumber GigabitEthernet0/0/1 –Antarmuka akses internet
    profil ipsec ipsecprof
    #
    Rute ke jaringan pribadi klien yang dapat diakses melalui konsentrator Beeline VPN dapat diatur secara statis

    ip rute-statis 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip rute-statis 172.16.0.0 255.255.0.0 Tunnel0/0/0

Diagram komunikasi yang dihasilkan terlihat seperti ini:

Cara menuju Beeline IPVPN melalui IPSec. Bagian 1

Jika klien tidak memiliki beberapa contoh konfigurasi dasar, maka kami biasanya membantu pembentukannya dan menyediakannya untuk semua orang.

Yang tersisa hanyalah menghubungkan CPE ke Internet, melakukan ping ke bagian respons terowongan VPN dan host mana pun di dalam VPN, dan hanya itu, kita dapat berasumsi bahwa koneksi telah dibuat.

Pada artikel berikutnya kami akan memberi tahu Anda bagaimana kami menggabungkan skema ini dengan Redundansi IPSec dan MultiSIM menggunakan Huawei CPE: kami menginstal Huawei CPE untuk klien, yang tidak hanya dapat menggunakan saluran Internet kabel, tetapi juga 2 kartu SIM berbeda, dan CPE secara otomatis membangun kembali terowongan IPSec baik melalui WAN berkabel atau melalui radio (LTE#1/LTE#2), mewujudkan toleransi kesalahan yang tinggi pada layanan yang dihasilkan.

Terima kasih khusus kepada rekan-rekan RnD kami yang telah menyiapkan artikel ini (dan, pada kenyataannya, kepada penulis solusi teknis ini)!

Sumber: www.habr.com

Tambah komentar