ProHoster > Blog > Stjórnsýsla > Hvernig á að komast að Beeline IPVPN í gegnum IPSec. 1. hluti

Hvernig á að komast að Beeline IPVPN í gegnum IPSec. 1. hluti

Halló! IN fyrri færsla Ég lýsti vinnu MultiSIM þjónustunnar okkar að hluta fyrirvara и jafnvægi rásir. Eins og fram hefur komið tengjum við viðskiptavini við netið í gegnum VPN og í dag mun ég segja þér aðeins meira um VPN og getu okkar í þessum hluta.

Það er þess virði að byrja á því að við, sem fjarskiptafyrirtæki, erum með okkar eigin risastóra MPLS net, sem fyrir fastlínuviðskiptavini er skipt í tvo meginhluta - þann sem er notaður beint til að komast á internetið og þann sem er notað til að búa til einangruð net - og það er í gegnum þennan MPLS hluta sem IPVPN (L3 OSI) og VPLAN (L2 OSI) umferð flæðir fyrir fyrirtækjaviðskiptavini okkar.

Hvernig á að komast að Beeline IPVPN í gegnum IPSec. 1. hluti
Venjulega fer tenging við viðskiptavini fram sem hér segir.

Aðgangslína er lögð að skrifstofu viðskiptavinar frá næsta viðverustað netsins (hnút MEN, RRL, BSSS, FTTB, osfrv.) og ennfremur er rásin skráð í gegnum flutningsnetið á samsvarandi PE-MPLS beini, sem við sendum hana út á sérstaklega búið til fyrir VRF viðskiptavininn, að teknu tilliti til umferðarsniðsins sem viðskiptavinurinn þarfnast (prófílmerki eru valin fyrir hverja aðgangsport, byggt á ip forgangsgildum 0,1,3,5, XNUMX).

Ef við af einhverjum ástæðum getum ekki skipulagt að fullu síðustu míluna fyrir viðskiptavininn, til dæmis, skrifstofa viðskiptavinarins er staðsett í viðskiptamiðstöð, þar sem annar veitandi er í forgangi, eða við höfum einfaldlega ekki viðveru okkar nálægt, þá eru áður viðskiptavinir þurfti að búa til nokkur IPVPN net hjá mismunandi veitendum (ekki hagkvæmasta arkitektúrinn) eða leysa sjálfstætt vandamál með að skipuleggja aðgang að VRF þínum í gegnum internetið.

Margir gerðu þetta með því að setja upp IPVPN netgátt - þeir settu upp landamærabeini (vélbúnað eða einhverja Linux-byggða lausn), tengdu IPVPN rás við hana með annarri tenginu og internetrás við hina, ræstu VPN netþjóninn sinn á hana og tengdu hana. notendur í gegnum eigin VPN gátt. Slíkt skipulag skapar náttúrulega líka byrðar: slíka innviði verður að byggja og, sem er óþægilegast, reka og þróa.

Til að auðvelda viðskiptavinum okkar lífið settum við upp miðlæga VPN miðstöð og skipulagðan stuðning fyrir tengingar yfir internetið með IPSec, það er að segja að nú þurfa viðskiptavinir aðeins að stilla beininn sinn til að vinna með VPN miðstöðinni okkar í gegnum IPSec göng yfir hvaða opinberu internet sem er. , og við skulum gefa út umferð þessa viðskiptavinar á VRF hans.

Hver mun þurfa

  • Fyrir þá sem eru nú þegar með stórt IPVPN net og þurfa nýjar tengingar á stuttum tíma.
  • Allir sem vilja af einhverjum ástæðum flytja hluta umferðarinnar af almannanetinu yfir á IPVPN, en hafa áður lent í tæknilegum takmörkunum sem tengjast nokkrum þjónustuaðilum.
  • Fyrir þá sem nú eru með nokkur ólík VPN net yfir mismunandi fjarskiptafyrirtæki. Það eru viðskiptavinir sem hafa skipulagt IPVPN með góðum árangri frá Beeline, Megafon, Rostelecom o.s.frv. Til að gera það auðveldara geturðu aðeins verið á einu VPN-netinu okkar, skipt um allar aðrar rásir annarra rekstraraðila yfir á internetið og síðan tengst Beeline IPVPN í gegnum IPSec og internetið frá þessum símafyrirtækjum.
  • Fyrir þá sem þegar eru með IPVPN net sem er lagt yfir á internetið.

Ef þú setur allt í notkun hjá okkur, þá fá viðskiptavinir fullkominn VPN stuðning, alvarlega innviðaofframboð og staðlaðar stillingar sem munu virka á hvaða leið sem þeir eru vanir (hvort sem það er Cisco, jafnvel Mikrotik, aðalatriðið er að það geti stutt almennilega IPSec/IKEv2 með stöðluðum auðkenningaraðferðum). Við the vegur, um IPSec - eins og er styðjum við það aðeins, en við ætlum að hefja fullgildan rekstur bæði OpenVPN og Wireguard, svo að viðskiptavinir geti ekki treyst á samskiptareglur og það er enn auðveldara að taka og flytja allt til okkar, og við viljum líka byrja að tengja viðskiptavini úr tölvum og fartækjum (lausnir innbyggðar í stýrikerfið, Cisco AnyConnect og strongSwan og þess háttar). Með þessari nálgun er hægt að afhenda rekstraraðilanum á öruggan hátt byggingu innviða í raun og veru, þannig að aðeins er eftir uppsetningu CPE eða hýsilsins.

Hvernig virkar tengingarferlið fyrir IPSec ham:

  1. Viðskiptavinurinn skilur eftir beiðni til yfirmanns síns þar sem hann gefur til kynna nauðsynlegan tengihraða, umferðarsnið og IP-vistunarfæribreytur fyrir göngin (sjálfgefið, undirnet með /30 grímu) og tegund leiðar (static eða BGP). Til að flytja leiðir yfir á staðarnet viðskiptavinarins á tengdri skrifstofu eru IKEv2 kerfin í IPSec samskiptafasa notaðar með því að nota viðeigandi stillingar á biðlarabeini, eða þær eru auglýstar í gegnum BGP í MPLS frá einka BGP eins og tilgreint er í umsókn viðskiptavinarins. . Þannig eru upplýsingar um leiðir viðskiptavinaneta algjörlega stjórnað af viðskiptavininum í gegnum stillingar biðlarabeins.
  2. Sem svar frá yfirmanni sínum fær viðskiptavinurinn bókhaldsgögn til að setja í VRF hans á eyðublaðinu:
    • VPN-HUB IP tölu
    • Innskráning
    • Auðkenningarlykilorð
  3. Stillir CPE, fyrir neðan, til dæmis tvo grunnstillingarvalkosti:

    Valkostur fyrir Cisco:
    crypto ikev2 lyklakippa BeelineIPsec_lyklahringur
    jafningi Beeline_VPNHub
    heimilisfang 62.141.99.183 –VPN miðstöð Beeline
    pre-shared-lykill <Authentication password>
    !
    Fyrir kyrrstöðu leiðarvalkostinn er hægt að tilgreina leiðir til netkerfa sem eru aðgengilegar í gegnum Vpn-miðstöðina í IKEv2 stillingunum og þær birtast sjálfkrafa sem kyrrstæðar leiðir í CE leiðartöflunni. Þessar stillingar er einnig hægt að gera með því að nota staðlaða aðferðina við að stilla fastar leiðir (sjá hér að neðan).

    crypto ikev2 heimildarstefna FlexClient-höfundur

    Leið til netkerfa á bak við CE beininn – skyldubundin stilling fyrir kyrrstæða leið milli CE og PE. Flutningur leiðargagna til PE fer sjálfkrafa fram þegar göngin eru hækkuð með IKEv2 samskiptum.

    leiðarsett fjarstýrð ipv4 10.1.1.0 255.255.255.0 -Staðbundið net skrifstofu
    !
    crypto ikev2 prófíl BeelineIPSec_profile
    auðkenni staðbundið <innskráning>
    auðkenning staðbundinna fordeilingar
    auðkenning fjarstýrð fordeilingu
    staðbundinn lyklakippa BeelineIPsec_lyklahringur
    aaa heimildarhópur psk listi hóphöfundarlisti FlexClient-höfundur
    !
    crypto ikev2 viðskiptavinur flexvpn BeelineIPsec_flex
    jafningi 1 Beeline_VPNHub
    viðskiptavinur tengi Tunnel1
    !
    crypto ipsec umbreytingarsett TRANSFORM1 esp-aes 256 esp-sha256-hmac
    ham göng
    !
    crypto ipsec prófíl sjálfgefið
    setja umbreyta-setja TRANSFORM1
    setja ikev2-prófíl BeelineIPSec_profile
    !
    viðmót Tunnel1
    ip heimilisfang 10.20.1.2 255.255.255.252 – Heimilisfang jarðganga
    göng uppspretta GigabitEthernet0/2 -Internetaðgangsviðmót
    göng ham ipsec ipv4
    göng áfangastaða dynamic
    göng vernd ipsec snið sjálfgefið
    !
    Hægt er að stilla leiðir til einkaneta viðskiptavinarins sem eru aðgengilegar í gegnum Beeline VPN einbeitingu.

    ip leið 172.16.0.0 255.255.0.0 Göng1
    ip leið 192.168.0.0 255.255.255.0 Göng1

    Valkostur fyrir Huawei (ar160/120):
    eins og staðbundið nafn <innskráning>
    #
    acl nafn ipsec 3999
    regla 1 leyfir ip heimild 10.1.1.0 0.0.0.255 -Staðbundið net skrifstofu
    #
    AAA
    þjónustukerfi IPSEC
    leiðarsett acl 3999
    #
    ipsec tillaga ipsec
    esp auðkenningarreiknirit sha2-256
    esp dulkóðunaralgrím aes-256
    #
    Ike tillögu sjálfgefið
    dulkóðunaralgrím aes-256
    dh hópur 2
    auðkenningarreiknirit sha2-256
    auðkenningaraðferð fyrirfram deilingu
    heiðarleika-reiknirit hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    fordeilt lykill einfalt <Authentication password>
    staðbundin auðkennisgerð fqdn
    fjarstýrð auðkennisgerð ip
    fjarvistfang 62.141.99.183 –VPN miðstöð Beeline
    þjónustukerfi IPSEC
    config-exchange beiðni
    config-exchange sett samþykkja
    config-exchange sett senda
    #
    ipsec prófíl ipsecprof
    ike-peer ipsec
    tillaga ipsec
    #
    tengi Tunnel0/0/0
    ip heimilisfang 10.20.1.2 255.255.255.252 – Heimilisfang jarðganga
    göng-samskiptareglur ipsec
    uppspretta GigabitEthernet0/0/1 -Internetaðgangsviðmót
    ipsec prófíl ipsecprof
    #
    Hægt er að stilla leiðir til einkaneta viðskiptavinarins sem eru aðgengilegar í gegnum Beeline VPN einbeitingu

    ip leið-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip leið-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

Samskiptamyndin sem myndast lítur eitthvað svona út:

Hvernig á að komast að Beeline IPVPN í gegnum IPSec. 1. hluti

Ef viðskiptavinurinn hefur ekki nokkur dæmi um grunnstillingarnar, þá aðstoðum við venjulega við myndun þeirra og gerum þau aðgengileg öllum öðrum.

Það eina sem er eftir er að tengja CPE við internetið, smella á svarhluta VPN ganganna og hvaða hýsil sem er inni í VPN, og það er það, við getum gert ráð fyrir að tengingin hafi verið gerð.

Í næstu grein munum við segja þér hvernig við sameinuðum þetta kerfi við IPSec og MultiSIM offramboð með því að nota Huawei CPE: við setjum upp Huawei CPE okkar fyrir viðskiptavini, sem geta notað ekki aðeins hlerunarbúnað, heldur einnig 2 mismunandi SIM-kort, og CPE endurbyggir sjálfkrafa IPSec-göng annaðhvort í gegnum þráðbundið WAN eða í gegnum útvarp (LTE#1/LTE#2), og gerir sér grein fyrir miklu bilunarþoli þjónustunnar sem af því leiðir.

Sérstakar þakkir til RnD samstarfsmanna okkar fyrir að undirbúa þessa grein (og í raun höfundum þessara tæknilausna)!

Heimild: www.habr.com

Bæta við athugasemd