ProHoster > Blog > administracja > Jak dostać się do Beeline IPVPN przez IPSec. Część 1

Jak dostać się do Beeline IPVPN przez IPSec. Część 1

Cześć! W Poprzedni post Opisałem po części działanie naszej usługi MultiSIM rezerwacje и balansowy kanały. Jak już wspomnieliśmy, łączymy klientów z siecią poprzez VPN, a dzisiaj opowiem Wam w tej części nieco więcej o VPN i naszych możliwościach.

Warto zacząć od tego, że jako operator telekomunikacyjny posiadamy własną, ogromną sieć MPLS, która dla klientów stacjonarnych podzielona jest na dwa główne segmenty – ten, który służy bezpośrednio do dostępu do Internetu, oraz ten, który jest wykorzystywane do tworzenia izolowanych sieci — i to właśnie przez ten segment MPLS przepływa ruch IPVPN (L3 OSI) i VPLAN (L2 OSI) dla naszych klientów korporacyjnych.

Jak dostać się do Beeline IPVPN przez IPSec. Część 1
Zazwyczaj połączenie klienta odbywa się w następujący sposób.

Do biura klienta prowadzona jest linia dostępowa z najbliższego punktu obecności sieci (węzeł MEN, RRL, BSSS, FTTB itp.), a następnie kanał jest rejestrowany przez sieć transportową do odpowiedniego PE-MPLS router, na który wyprowadzimy go do specjalnie stworzonego dla klienta VRF, biorąc pod uwagę profil ruchu, jakiego potrzebuje klient (etykiety profilu dobierane są dla każdego portu dostępowego na podstawie wartości pierwszeństwa ip 0,1,3,5, XNUMX).

Jeśli z jakiegoś powodu nie możemy w pełni zorganizować dla klienta ostatniej mili, np. biuro klienta znajduje się w centrum biznesowym, gdzie priorytetem jest inny dostawca, lub po prostu nie mamy w pobliżu naszego punktu obecności, to wcześniej klienci musiałeś stworzyć kilka sieci IPVPN u różnych dostawców (nie jest to najbardziej opłacalna architektura) lub samodzielnie rozwiązać problemy z organizacją dostępu do Twojego VRF przez Internet.

Wielu zrobiło to, instalując bramkę internetową IPVPN - zainstalowali router graniczny (sprzętowy lub jakieś rozwiązanie oparte na systemie Linux), podłączyli do niego kanał IPVPN jednym portem, a kanał internetowy drugim, uruchomili na nim swój serwer VPN i połączyli się użytkowników za pośrednictwem własnej bramy VPN. Naturalnie taki schemat stwarza również obciążenia: taką infrastrukturę należy budować oraz, co jest najbardziej niewygodne, eksploatować i rozwijać.

Aby ułatwić życie naszym klientom, zainstalowaliśmy scentralizowany koncentrator VPN i zorganizowaliśmy obsługę połączeń przez Internet przy użyciu protokołu IPSec, co oznacza, że ​​teraz klienci muszą jedynie skonfigurować swój router do współpracy z naszym koncentratorem VPN poprzez tunel IPSec w dowolnym publicznym Internecie i Zwolnijmy ruch tego klienta do jego VRF.

Kto będzie potrzebował

  • Dla tych, którzy mają już dużą sieć IPVPN i potrzebują nowych połączeń w krótkim czasie.
  • Każdy, kto z jakiegoś powodu chce przenieść część ruchu z publicznego Internetu na IPVPN, ale spotkał się wcześniej z ograniczeniami technicznymi związanymi z kilkoma dostawcami usług.
  • Dla tych, którzy obecnie mają kilka różnych sieci VPN u różnych operatorów telekomunikacyjnych. Są klienci, którzy z powodzeniem zorganizowali IPVPN od Beeline, Megafon, Rostelecom itp. Aby było to łatwiejsze, możesz pozostać tylko na naszym pojedynczym VPN, przełączyć wszystkie pozostałe kanały innych operatorów na Internet, a następnie połączyć się z Beeline IPVPN poprzez IPSec i Internet od tych operatorów.
  • Dla tych, którzy mają już sieć IPVPN nałożoną w Internecie.

Jeśli wdrożysz wszystko u nas, klienci otrzymają pełną obsługę VPN, poważną redundancję infrastruktury i standardowe ustawienia, które będą działać na każdym routerze, do którego są przyzwyczajeni (czy to Cisco, nawet Mikrotik, najważniejsze jest to, że może poprawnie obsługiwać IPSec/IKEv2 ze standardowymi metodami uwierzytelniania). Swoją drogą co do IPSec - na razie go tylko wspieramy, ale planujemy uruchomić pełną obsługę zarówno OpenVPN, jak i Wireguard, aby klienci nie mogli polegać na protokole i jeszcze łatwiej było nam wszystko zabrać i przenieść, chcemy także zacząć łączyć klientów z komputerów i urządzeń mobilnych (rozwiązania wbudowane w system operacyjny, Cisco AnyConnect i strongSwan i tym podobne). Dzięki takiemu podejściu de facto budowę infrastruktury można w bezpieczny sposób przekazać operatorowi, pozostawiając jedynie konfigurację CPE lub hosta.

Jak wygląda proces łączenia w trybie IPSec:

  1. Klient pozostawia swojemu menadżerowi prośbę, w której wskazuje wymaganą prędkość połączenia, profil ruchu i parametry adresacji IP dla tunelu (domyślnie podsieć z maską /30) oraz rodzaj routingu (statyczny lub BGP). Aby przesłać trasy do sieci lokalnych klienta w podłączonym biurze, wykorzystywane są mechanizmy IKEv2 fazy protokołu IPSec przy użyciu odpowiednich ustawień na routerze klienta lub są one anonsowane poprzez BGP w MPLS z prywatnego BGP AS określonego w aplikacji klienta . W ten sposób informacje o trasach sieci klienckich są całkowicie kontrolowane przez klienta poprzez ustawienia routera klienta.
  2. W odpowiedzi od swojego menadżera Klient otrzymuje dane księgowe do umieszczenia w swoim VRF w postaci:
    • Adres IP VPN-HUB
    • login
    • Hasło uwierzytelniające
  3. Konfiguruje CPE, poniżej przykładowo dwie podstawowe możliwości konfiguracji:

    Opcja dla Cisco:
    brelok kryptograficzny ikev2 BeelineIPsec_keyring
    równorzędny Beeline_VPNHub
    adres 62.141.99.183 – Hub VPN Beeline
    klucz wstępny <Hasło uwierzytelniające>
    !
    W przypadku opcji routingu statycznego trasy do sieci dostępnych za pośrednictwem koncentratora VPN można określić w konfiguracji IKEv2 i będą one automatycznie wyświetlane jako trasy statyczne w tabeli routingu CE. Ustawienia te można również wykonać przy użyciu standardowej metody wyznaczania tras statycznych (patrz poniżej).

    polityka autoryzacji crypto ikev2 FlexClient-autor

    Trasa do sieci za routerem CE – ustawienie obowiązkowe dla routingu statycznego pomiędzy CE i PE. Przesyłanie danych o trasie do PE odbywa się automatycznie po podniesieniu tunelu poprzez interakcję IKEv2.

    trasa ustawiona zdalnie ipv4 10.1.1.0 255.255.255.0 –Sieć lokalna biura
    !
    profil krypto ikev2 BeelineIPSec_profile
    tożsamość lokalna <login>
    uwierzytelnianie lokalne, wstępne udostępnianie
    zdalne uwierzytelnianie, wstępne udostępnianie
    brelok lokalny BeelineIPsec_keyring
    aaa grupa autoryzacyjna lista psk grupa-autor-lista FlexClient-author
    !
    Klient krypto ikev2 flexvpn BeelineIPsec_flex
    równorzędny 1 Beeline_VPNHub
    klient łączy Tunel1
    !
    zestaw transformacji kryptograficznej ipsec TRANSFORM1 esp-aes 256 esp-sha256-hmac
    tryb tunelowy
    !
    domyślny profil kryptograficzny ipsec
    set transform-set TRANSFORM1
    ustaw profil ikev2 BeelineIPSec_profile
    !
    interfejs Tunel1
    adres IP 10.20.1.2 255.255.255.252 –Adres tunelu
    źródło tunelu GigabitEthernet0/2 –Interfejs dostępu do Internetu
    tryb tunelowy ipsec ipv4
    dynamika miejsca docelowego tunelu
    Domyślny profil Ipsec ochrony tunelu
    !
    Trasy do sieci prywatnych klienta dostępnych poprzez koncentrator Beeline VPN można ustawić statycznie.

    trasa ip 172.16.0.0 255.255.0.0 Tunel1
    trasa ip 192.168.0.0 255.255.255.0 Tunel1

    Opcja dla Huawei (ar160/120):
    ike nazwa-lokalna <login>
    #
    nazwa acl ipsec 3999
    zasada 1 zezwolenie na źródło ip 10.1.1.0 0.0.0.255 –Sieć lokalna biura
    #
    aaa
    schemat usług IPSEC
    trasa ustawiona na 3999
    #
    propozycja ipsec ipsec
    algorytm uwierzytelniania esp sha2-256
    algorytm szyfrowania esp aes-256
    #
    ike propozycja domyślna
    algorytm szyfrowania aes-256
    dh grupa 2
    algorytm uwierzytelniania sha2-256
    wstępne udostępnianie metody uwierzytelniania
    Algorytm integralności hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    prosty klucz wstępny <Hasło uwierzytelniające>
    typ-identyfikatora lokalnego fqdn
    IP typu zdalnego identyfikatora
    adres zdalny 62.141.99.183 – Hub VPN Beeline
    schemat usług IPSEC
    żądanie wymiany konfiguracji
    zestaw wymiany konfiguracji akceptuje
    wysyłanie zestawu wymiany konfiguracji
    #
    profil ipsec ipsecprof
    ike-peer ipsec
    propozycja ipsec
    #
    interfejs Tunel0/0/0
    adres IP 10.20.1.2 255.255.255.252 –Adres tunelu
    protokół tunelowy ipsec
    źródło GigabitEthernet0/0/1 –Interfejs dostępu do Internetu
    profil ipsec ipsecprof
    #
    Trasy do sieci prywatnych klienta dostępnych poprzez koncentrator Beeline VPN można ustawić statycznie

    ip Route-static 192.168.0.0 255.255.255.0 Tunel0/0/0
    ip Route-static 172.16.0.0 255.255.0.0 Tunel0/0/0

Powstały schemat komunikacji wygląda mniej więcej tak:

Jak dostać się do Beeline IPVPN przez IPSec. Część 1

Jeśli klient nie posiada przykładów podstawowej konfiguracji, wówczas zazwyczaj pomagamy w ich tworzeniu i udostępniamy wszystkim innym.

Pozostaje tylko podłączyć CPE do Internetu, wysłać polecenie ping do części zwrotnej tunelu VPN i dowolnego hosta wewnątrz VPN i to wszystko, możemy założyć, że połączenie zostało nawiązane.

W następnym artykule opowiemy, jak połączyliśmy ten schemat z IPSec i redundancją MultiSIM przy użyciu Huawei CPE: instalujemy nasz Huawei CPE dla klientów, którzy mogą korzystać nie tylko z przewodowego kanału internetowego, ale także z 2 różnych kart SIM i CPE automatycznie odbudowuje tunel IPSec za pośrednictwem przewodowej sieci WAN lub radia (LTE#1/LTE#2), zapewniając wysoką odporność na awarie powstałej usługi.

Specjalne podziękowania dla naszych kolegów z RnD za przygotowanie tego artykułu (a właściwie dla autorów tych rozwiązań technicznych)!

Źródło: www.habr.com

Dodaj komentarz