Како да стигнете до Beeline IPVPN преку IPSec. Дел 1

Здраво! ВО претходен пост Делумно ја опишав работата на нашата MultiSIM услуга резервации и балансирање канали. Како што споменавме, клиентите ги поврзуваме на мрежата преку VPN, а денес ќе ви кажам малку повеќе за VPN и нашите можности во овој дел.

Вреди да се започне со фактот дека ние, како телеком оператор, имаме своја огромна MPLS мрежа, која за фиксните корисници е поделена на два главни сегменти - оној што се користи директно за пристап до Интернет и оној што е се користи за создавање изолирани мрежи - и токму преку овој сегмент MPLS тече сообраќајот IPVPN (L3 OSI) и VPLAN (L2 OSI) за нашите корпоративни клиенти.

Вообичаено, врската со клиентот се јавува на следниов начин.

Се поставува пристапна линија до канцеларијата на клиентот од најблиската точка на присуство на мрежата (јазол MEN, RRL, BSSS, FTTB, итн.) и понатаму, каналот се регистрира преку транспортната мрежа до соодветната PE-MPLS рутер, на кој го испуштаме на специјално креиран за клиентот VRF, земајќи го предвид сообраќајниот профил што му треба на клиентот (етикетите на профилот се избираат за секоја пристапна порта, врз основа на вредностите на предност на IP 0,1,3,5, XNUMX).

Ако поради некоја причина не можеме целосно да ја организираме последната милја за клиентот, на пример, канцеларијата на клиентот се наоѓа во деловен центар, каде што друг провајдер е приоритет, или едноставно ја немаме нашата точка на присуство во близина, тогаш претходно клиентите мораше да создаде неколку IPVPN мрежи кај различни провајдери (не најефективната архитектура) или самостојно да ги реши проблемите со организирање пристап до вашиот VRF преку Интернет.

Многумина го направија ова со инсталирање IPVPN интернет портал - тие инсталираа граничен рутер (хардвер или некое решение базирано на Linux), поврзаа IPVPN канал со него со едната порта и Интернет канал со другиот, го лансираа својот VPN сервер на него и се поврзаа корисници преку нивниот сопствен VPN портал. Секако, таквата шема создава и оптоварувања: таква инфраструктура мора да се изгради и, што е најнезгодно, да се управува и развива.

За да им го олесниме животот на нашите клиенти, инсталиравме централизиран VPN центар и организиравме поддршка за врски преку Интернет користејќи IPSec, односно, сега клиентите треба само да го конфигурираат својот рутер за да работат со нашиот VPN центар преку тунел IPSec преку кој било јавен интернет , и ние Ајде да го ослободиме сообраќајот на овој клиент до неговиот VRF.

На кого ќе му биде корисно?

• За оние кои веќе имаат голема IPVPN мрежа и имаат потреба од нови конекции за кратко време.
• Секој кој поради некоја причина сака да пренесе дел од сообраќајот од јавниот интернет на IPVPN, но претходно наишол на технички ограничувања поврзани со неколку даватели на услуги.
• За оние кои моментално имаат неколку различни VPN мрежи на различни телекомуникациски оператори. Има клиенти кои успешно организирале IPVPN од Beeline, Megafon, Rostelecom итн. За да ви биде полесно, можете да останете само на нашата единствена VPN, да ги префрлите сите други канали на други оператори на Интернет, а потоа да се поврзете на Beeline IPVPN преку IPSec и Интернет од овие оператори.
• За оние кои веќе имаат IPVPN мрежа преклопена на Интернет.

Ако распоредите сè со нас, тогаш клиентите добиваат целосна поддршка за VPN, сериозни инфраструктурни вишок и стандардни поставки кои ќе работат на кој било рутер на кој се навикнати (било да е Cisco, дури и Mikrotik, главната работа е што може правилно да поддржува IPSec/IKEv2 со стандардизирани методи за автентикација). Патем, за IPSec - во моментов ние само го поддржуваме, но планираме да започнеме полноправно работење и на OpenVPN и на Wireguard, така што клиентите не можат да зависат од протоколот и уште полесно е да се земе и префрли сè кај нас, а исто така сакаме да започнеме да поврзуваме клиенти од компјутери и мобилни уреди (решенија вградени во оперативниот систем, Cisco AnyConnect и strongSwan и слично). Со овој пристап, де факто изградбата на инфраструктурата може безбедно да се предаде на операторот, оставајќи ја само конфигурацијата на CPE или домаќин.

Како функционира процесот на поврзување за режимот IPSec:

1. Клиентот остава барање до својот менаџер во кое тој ја означува потребната брзина на поврзување, профилот на сообраќајот и параметрите за IP адресирање за тунелот (по дифолт, подмрежа со /30 маска) и типот на рутирање (статичко или BGP). За пренос на рути до локалните мрежи на клиентот во поврзаната канцеларија, механизмите IKEv2 од фазата на протоколот IPSec се користат со користење на соодветните поставки на клиентскиот рутер или тие се рекламираат преку BGP во MPLS од приватниот BGP AS наведен во апликацијата на клиентот. . Така, информациите за маршрутите на клиентските мрежи се целосно контролирани од клиентот преку поставките на клиентскиот рутер.
2. Како одговор од неговиот менаџер, клиентот добива сметководствени податоци за вклучување во неговиот VRF на формуларот:
   • IP адреса VPN-HUB
   • Пријавете
   • Лозинка за автентикација
3. Конфигурира CPE, подолу, на пример, две основни опции за конфигурација:

   Опција за Cisco:
   крипто ikev2 приклучок BeelineIPsec_keyring
   peer Beeline_VPNHub
   адреса 62.141.99.183 – ВПН центар Beeline
   претходно споделен клуч <Лизинка за автентикација>
   !
   За опцијата за статичко рутирање, маршрутите до мрежите достапни преку Vpn-хабот може да се наведат во конфигурацијата IKEv2 и тие автоматски ќе се појават како статични правци во CE рутирачката табела. Овие поставки може да се направат и со користење на стандардниот метод за поставување статични правци (види подолу).

   Политика за авторизација на крипто ikev2 FlexClient-автор

   Рута до мрежи зад CE рутерот – задолжително поставување за статичко рутирање помеѓу CE и PE. Преносот на податоците за маршрутата до PE се врши автоматски кога тунелот е подигнат преку интеракцијата IKEv2.

   сет маршрута далечински IPv4 10.1.1.0 255.255.255.0 – Канцелариска локална мрежа
   !
   крипто ikev2 профил BeelineIPSec_profile
   локален идентитет <најава>
   автентикација локално пред-споделување
   далечинско за автентикација пред-споделување
   приврзок за клучеви локално BeelineIPsec_keyring
   aaa група за авторизација psk листа група-автор-листа FlexClient-author
   !
   крипто ikev2 клиент flexvpn BeelineIPsec_flex
   peer 1 Beeline_VPNHub
   тунел 1 за поврзување со клиент
   !
   crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
   режим тунел
   !
   Стандарден профил на крипто ipsec
   поставете трансформација-множество TRANSFORM1
   постави ikev2-профил BeelineIPSec_profile
   !
   интерфејс Tunnel1
   ip адреса 10.20.1.2 255.255.255.252 – Адреса на тунел
   извор на тунел GigabitEthernet0/2 – Интерфејс за пристап до Интернет
   тунелен режим ipsec ipv4
   динамична дестинација на тунелот
   Заштита на тунелот стандарден профил на ipsec
   !
   Насоките до приватните мрежи на клиентот достапни преку концентраторот VPN на Beeline може да се поставуваат статички.

   IP рута 172.16.0.0 255.255.0.0 Тунел1
   IP рута 192.168.0.0 255.255.255.0 Тунел1

   Опција за Huawei (ar160/120):
   како локално име <најава>
   #
   acl име ipsec 3999
   правило 1 дозвола ip извор 10.1.1.0 0.0.0.255 – Канцелариска локална мрежа
   #
   ааа
   сервис-шема IPSEC
   сет на маршрута acl 3999
   #
   ipsec предлог ipsec
   esp автентикација-алгоритам sha2-256
   esp енкрипција-алгоритам aes-256
   #
   ike предлог стандардно
   енкрипција-алгоритам aes-256
   dh група2
   автентикација-алгоритам sha2-256
   автентикација-метод пред-споделување
   интегритет-алгоритам hmac-sha2-256
   prf hmac-sha2-256
   #
   како peer ipsec
   Едноставен однапред споделен клуч <Лозинка за автентикација>
   fqdn од локален id-тип
   ИП од далечински id
   далечинска адреса 62.141.99.183 – ВПН центар Beeline
   сервис-шема IPSEC
   барање за конфигурација-размена
   config-exchange set прифати
   config-exchange сет испрати
   #
   ipsec профил ipsecprof
   ike-peer ipsec
   предлог ipsec
   #
   интерфејс Тунел0/0/0
   ip адреса 10.20.1.2 255.255.255.252 – Адреса на тунел
   тунел-протокол ipsec
   извор GigabitEthernet0/0/1 – Интерфејс за пристап до Интернет
   ipsec профил ipsecprof
   #
   Рутите до приватните мрежи на клиентот достапни преку концентраторот на Beeline VPN може статички да се постават

   ip route-static 192.168.0.0 255.255.255.0 Тунел0/0/0
   ip route-static 172.16.0.0 255.255.0.0 Тунел0/0/0

Резултирачкиот дијаграм за комуникација изгледа вака:

Доколку клиентот нема некои примери од основната конфигурација, тогаш ние обично помагаме во нивното формирање и ги правиме достапни за сите други.

Останува само да се поврзе CPE на Интернет, да се пингува на одговорниот дел од тунелот VPN и кој било хост внатре во VPN, и тоа е тоа, можеме да претпоставиме дека врската е направена.

Во следната статија ќе ви кажеме како ја комбиниравме оваа шема со IPSec и MultiSIM вишок користејќи Huawei CPE: го инсталираме нашиот Huawei CPE за клиенти, кои можат да користат не само жичен интернет канал, туку и 2 различни SIM-картички и CPE автоматски го обновува IPSec- тунелот или преку жичен WAN или преку радио (LTE#1/LTE#2), остварувајќи висока толеранција на дефекти на добиената услуга.

Посебна благодарност до нашите колеги од RnD за подготовката на овој напис (и, всушност, на авторите на овие технички решенија)!

Извор: www.habr.com