ProHoster > Blog > Administratioun > Wéi kënnt Dir op Beeline IPVPN iwwer IPSec kommen. Deel 1

Wéi kënnt Dir op Beeline IPVPN iwwer IPSec kommen. Deel 1

Hallo! IN virdrun Post Ech hunn d'Aarbecht vun eisem MultiSIM Service deelweis beschriwwen Reservatiounen и ausgeglach Channels. Wéi erwähnt, verbannen mir Clienten mam Netz iwwer VPN, an haut wäert ech Iech e bësse méi iwwer VPN an eis Fäegkeeten an dësem Deel soen.

Et ass derwäert mat der Tatsaach unzefänken datt mir als Telekomoperateur eisen eegene riesegen MPLS-Netz hunn, dee fir Festnetzclienten an zwee Haaptsegmenter opgedeelt ass - deen deen direkt benotzt gëtt fir den Internet ze kréien, an deen deen ass benotzt fir isoléiert Netzwierker ze kreéieren - an et ass duerch dëst MPLS Segment datt IPVPN (L3 OSI) an VPLAN (L2 OSI) Traffic fir eis Firmeclienten fléisst.

Wéi kënnt Dir op Beeline IPVPN iwwer IPSec kommen. Deel 1
Typesch geschitt eng Clientverbindung wéi follegt.

Eng Zougankslinn gëtt an de Clientsbüro vum nooste Point of Presence vum Netz geluecht (Node MEN, RRL, BSSS, FTTB, etc.) Router, op deem mir et op e speziell erstallt fir de VRF Client ausginn, andeems de Verkéiersprofil berücksichtegt deen de Client brauch (Profiletiketten gi fir all Zougangsport ausgewielt, baséiert op den IP Virrangswäerter 0,1,3,5, XNUMX).

Wa mir aus irgendege Grënn déi lescht Meile fir de Client net ganz organiséieren, zum Beispill, de Clientsbüro ass an engem Geschäftszentrum, wou en anere Fournisseur eng Prioritéit ass, oder mir hunn einfach net eise Punkt vun der Präsenz an der Géigend, da fréier Clienten hu missen e puer IPVPN Netzwierker bei verschiddene Fournisseuren erstellen (net déi kosteneffektivst Architektur) oder onofhängeg Problemer léisen mat der Organisatioun vum Zougang zu Ärem VRF iwwer Internet.

Vill hunn dëst gemaach andeems se en IPVPN Internet Gateway installéiert hunn - si hunn e Grenzrouter installéiert (Hardware oder eng Linux-baséiert Léisung), en IPVPN Kanal mat engem Hafen an en Internet Kanal mat deem aneren verbonnen, hiren VPN Server drop lancéiert a verbonnen Benotzer duerch hiren eegene VPN Paart. Esou e Schema schaaft natierlech och Laascht: esou Infrastrukture musse gebaut an am meeschten onbequem bedriwwen an entwéckelt ginn.

Fir d'Liewen fir eise Clienten méi einfach ze maachen, hu mir en zentraliséierte VPN Hub installéiert an organiséiert Ënnerstëtzung fir Verbindungen iwwer den Internet mat IPSec, dat heescht, elo mussen d'Clienten nëmmen hire Router konfiguréieren fir mat eisem VPN Hub iwwer en IPSec Tunnel iwwer all ëffentlechen Internet ze schaffen , a mir Loosst eis dëse Client Traffic op seng VRF fräiginn.

Wien wäert et nëtzlech fannen?

  • Fir déi, déi schonn e grousst IPVPN Netz hunn an nei Verbindungen a kuerzer Zäit brauchen.
  • Jiddereen deen aus irgendege Grënn en Deel vum Traffic vum ëffentlechen Internet op IPVPN wëll transferéieren, awer virdrun op technesch Aschränkungen mat verschiddene Serviceprovider stoungen.
  • Fir déi, déi de Moment verschidde verschidde VPN Netzwierker iwwer verschidden Telekomoperateuren hunn. Et gi Clienten déi erfollegräich IPVPN vu Beeline, Megafon, Rostelecom, etc. Fir et méi einfach ze maachen, kënnt Dir nëmmen op eisem eenzege VPN bleiwen, all aner Kanäl vun anere Betreiber op den Internet wiesselen, an dann mat Beeline IPVPN iwwer IPSec an den Internet vun dësen Betreiber verbannen.
  • Fir déi, déi schonn en IPVPN Netz um Internet iwwerlagert hunn.

Wann Dir alles mat eis ofsetzt, da kréien d'Clientë vollwäerteg VPN-Ënnerstëtzung, sérieux Infrastruktur-Redundanz, a Standardastellungen, déi op all Router funktionnéieren dee se gewinnt sinn (sief et Cisco, souguer Mikrotik, den Haapt Saach ass datt et richteg ënnerstëtzen kann) IPSec/IKEv2 mat standardiséierte Authentifikatiounsmethoden). Iwwregens, iwwer IPSec - de Moment ënnerstëtzen mir et nëmmen, awer mir plangen eng vollwäerteg Operatioun vu béiden OpenVPN a Wireguard ze starten, sou datt d'Clienten net vum Protokoll hänke kënnen an et ass nach méi einfach alles un eis ze huelen an ze transferéieren, a mir wëllen och ufänken Clienten aus Computeren a mobilen Apparater ze konnektéieren (Léisungen an der OS gebaut, Cisco AnyConnect an strongSwan an dergläiche). Mat dëser Approche kann d'de facto Konstruktioun vun der Infrastruktur sécher dem Bedreiwer iwwerginn ginn, sou datt nëmmen d'Konfiguratioun vun der CPE oder Host léisst.

Wéi funktionnéiert de Verbindungsprozess fir IPSec Modus:

  1. De Client léisst eng Ufro un säi Manager, an där hien déi erfuerderlech Verbindungsgeschwindegkeet, Trafficprofil an IP Adresséierungsparameter fir den Tunnel uginn (par défaut en Subnet mat enger /30 Mask) an d'Art vu Routing (statesch oder BGP). Fir Strecken op d'lokal Netzwierker vum Client am verbonne Büro ze transferéieren, ginn d'IKEv2 Mechanismen vun der IPSec Protokollphase benotzt mat de passenden Astellungen um Client Router, oder se ginn iwwer BGP an MPLS vun der privater BGP AS an der Applikatioun vum Client ugekënnegt. . Sou gëtt d'Informatioun iwwer d'Strecke vu Clientnetzwierker komplett vum Client iwwer d'Astellunge vum Client Router kontrolléiert.
  2. Als Äntwert vu sengem Manager kritt de Client Comptablesdaten fir Aféierung a sengem VRF vun der Form:
    • VPN-HUB IP Adress
    • Login
    • Authentifikatioun Passwuert
  3. Configuréiert CPE, ënnert, zum Beispill, zwou Basiskonfiguratiounsoptiounen:

    Optioun fir Cisco:
    crypto ikev2 Keyring BeelineIPsec_keyring
    peer Beeline_VPNHub
    Adress 62.141.99.183 -VPN Hub Beeline
    Pre-gedeelt-Schlëssel <Authentifikatioun Passwuert>
    !
    Fir déi statesch Routingoptioun kënnen d'Strecken op Netzwierker zougänglech iwwer de Vpn-Hub an der IKEv2 Konfiguratioun spezifizéiert ginn a si wäerten automatesch als statesch Routen an der CE Routing-Tabelle erschéngen. Dës Astellunge kënnen och mat der Standardmethod gemaach ginn fir statesch routes ze setzen (kuckt hei ënnen).

    crypto ikev2 Autorisatiounspolitik FlexClient-Auteur

    Route op Netzwierker hannert dem CE Router - eng obligatoresch Astellung fir statesch Routing tëscht CE an PE. Den Transfert vu Streckdaten op d'PE gëtt automatesch duerchgefouert wann den Tunnel duerch IKEv2 Interaktioun erhéicht gëtt.

    Route Set Fernbedienung IPv4 10.1.1.0 255.255.255.0 - Büro lokal Netzwierk
    !
    crypto ikev2 Profil BeelineIPSec_profile
    lokal Identitéit <Login>
    Authentifikatioun lokal Pre-deelen
    Authentifikatioun Remote Pre-Share
    keyring lokal BeelineIPsec_keyring
    aaa Autorisatiounsgrupp psk Lëscht Grupp-Auteur-Lëscht FlexClient-Auteur
    !
    crypto ikev2 Client flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    Client Connect Tunnel1
    !
    crypto ipsec Transform-Set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    Modus Tunnel
    !
    Krypto ipsec Profil Standard
    set transform-set TRANSFORM1
    set ikev2-Profil BeelineIPSec_profile
    !
    Interface Tunnel1
    IP Adress: 10.20.1.2 255.255.255.252 - Tunnel Adress
    Tunnel Quell GigabitEthernet0/2 -Internet Zougang Interface
    Tunnelmodus ipsec ipv4
    Tunnel Destinatioun dynamesch
    Tunnelschutz ipsec Profil Standard
    !
    Routen op de Client seng privat Netzwierker zougänglech iwwer de Beeline VPN Konzentrator kënne statesch gesat ginn.

    IP route 172.16.0.0 255.255.0.0 Tunnel1
    IP route 192.168.0.0 255.255.255.0 Tunnel1

    Optioun fir Huawei (ar160/120):
    also lokal Numm <Login>
    #
    acl Numm ipsec 3999
    Regel 1 Erlaabnis IP Quell 10.1.1.0 0.0.0.255 - Büro lokal Netzwierk
    #
    AAA
    Service Schema IPSEC
    Route Set acl 3999
    #
    ipsec Propositioun ipsec
    esp Authentifikatioun-Algorithmus sha2-256
    esp Verschlësselungsalgorithmus aes-256
    #
    ike Propositioun Standard
    Verschlësselungsalgorithmus aes-256
    dh Grupp 2
    Authentifikatioun-Algorithmus sha2-256
    Authentifikatioun-Methode Pre-deelen
    Integritéit-Algorithmus hmac-sha2-256
    prf hmac-sha2-256
    #
    ech peer ipsec
    Pre-gedeelt-Schlëssel einfach <Authentifikatioun Passwuert>
    lokal-ID-Typ fqdn
    Remote-ID-Typ ip
    Fern-Adress 62.141.99.183 -VPN Hub Beeline
    Service Schema IPSEC
    config-austausch Ufro
    config-exchange Set akzeptéieren
    config-exchange set send
    #
    ipsec Profil ipsecprof
    ike-peer ipsec
    Propositioun ipsec
    #
    Interface Tunnel0/0/0
    IP Adress: 10.20.1.2 255.255.255.252 - Tunnel Adress
    Tunnel-Protokoll ipsec
    Quell GigabitEthernet0/0/1 -Internet Zougang Interface
    ipsec Profil ipsecprof
    #
    Routen op de Client seng privat Netzwierker zougänglech iwwer de Beeline VPN Konzentrator kënne statesch gesat ginn

    IP route-statesch 192.168.0.0 255.255.255.0 Tunnel0/0/0
    IP route-statesch 172.16.0.0 255.255.0.0 Tunnel0/0/0

Dat resultéierend Kommunikatiounsdiagramm gesäit esou aus:

Wéi kënnt Dir op Beeline IPVPN iwwer IPSec kommen. Deel 1

Wann de Client net e puer Beispiller vun der Basiskonfiguratioun huet, da hëllefe mir normalerweis mat hirer Formatioun a maachen se fir all aner verfügbar.

Alles wat bleift ass den CPE mam Internet ze verbannen, Ping un den Äntwertdeel vum VPN Tunnel an all Host am VPN, an dat ass et, mir kënnen unhuelen datt d'Verbindung gemaach gouf.

Am nächsten Artikel wäerte mir Iech soen wéi mir dëst Schema mat IPSec a MultiSIM Redundanz mat Huawei CPE kombinéiert hunn: Mir installéieren eis Huawei CPE fir Clienten, déi net nëmmen e kabellosen Internetkanal benotzen, awer och 2 verschidde SIM Kaarten, an de CPE baut automatesch IPSec- Tunnel entweder iwwer kabelt WAN oder iwwer Radio (LTE # 1 / LTE # 2), realiséiert héich Feeler Toleranz vun der doraus resultéierend Service.

Besonnesch Merci un eis RnD Kollegen fir dësen Artikel virzebereeden (an tatsächlech un d'Auteuren vun dësen technesche Léisungen)!

Source: will.com

Setzt e Commentaire