ProHoster > BLOG > administrare > Cum să ajungeți la Beeline IPVPN prin IPSec. Partea 1

Cum să ajungeți la Beeline IPVPN prin IPSec. Partea 1

Buna ziua! ÎN postarea anterioară Am descris parțial activitatea serviciului nostru MultiSIM rezervări и balansare canale. După cum am menționat, conectăm clienții la rețea prin VPN, iar astăzi vă voi spune puțin mai multe despre VPN și capacitățile noastre în această parte.

Merită să începem cu faptul că noi, în calitate de operator de telecomunicații, avem propria noastră rețea uriașă MPLS, care pentru clienții de linie fixă ​​este împărțită în două segmente principale - cel care este utilizat direct pentru a accesa Internetul și cel care este folosit pentru a crea rețele izolate - și prin acest segment MPLS circulă traficul IPVPN (L3 OSI) și VPLAN (L2 OSI) pentru clienții noștri corporativi.

Cum să ajungeți la Beeline IPVPN prin IPSec. Partea 1
De obicei, o conexiune client are loc după cum urmează.

O linie de acces este așezată la biroul clientului din cel mai apropiat punct de prezență al rețelei (nodul MEN, RRL, BSSS, FTTB etc.) și, în continuare, canalul este înregistrat prin rețeaua de transport la PE-MPLS corespunzător. router, pe care îl trimitem către un client special creat pentru clientul VRF, ținând cont de profilul de trafic de care are nevoie clientul (etichetele de profil sunt selectate pentru fiecare port de acces, pe baza valorilor de precedență ip 0,1,3,5, XNUMX).

Dacă din anumite motive nu putem organiza pe deplin ultimul kilometru pentru client, de exemplu, biroul clientului este situat într-un centru de afaceri, unde un alt furnizor este prioritar, sau pur și simplu nu avem punctul nostru de prezență în apropiere, atunci anterior clienții a trebuit să creeze mai multe rețele IPVPN la diferiți furnizori (nu cea mai rentabilă arhitectură) sau să rezolve în mod independent problemele legate de organizarea accesului la VRF prin Internet.

Mulți au făcut acest lucru instalând un gateway de internet IPVPN - au instalat un router de frontieră (hardware sau o soluție bazată pe Linux), au conectat un canal IPVPN cu un port și un canal de Internet cu celălalt, și-au lansat serverul VPN pe el și s-au conectat. utilizatorii prin propriul gateway VPN. Desigur, o astfel de schemă creează și poveri: o astfel de infrastructură trebuie construită și, cel mai incomod, operată și dezvoltată.

Pentru a face viața mai ușoară clienților noștri, am instalat un hub VPN centralizat și am organizat suport pentru conexiunile prin Internet folosind IPSec, adică acum clienții trebuie doar să-și configureze routerul pentru a funcționa cu hub-ul nostru VPN printr-un tunel IPSec pe orice internet public. , iar noi Să eliberăm traficul acestui client către VRF-ul său.

Cui îi va fi util?

  • Pentru cei care au deja o rețea IPVPN mare și au nevoie de conexiuni noi într-un timp scurt.
  • Oricine, dintr-un motiv oarecare, dorește să transfere o parte din traficul de pe Internetul public la IPVPN, dar s-a confruntat anterior cu limitări tehnice asociate cu mai mulți furnizori de servicii.
  • Pentru cei care au în prezent mai multe rețele VPN disparate la diferiți operatori de telecomunicații. Sunt clienți care au organizat cu succes IPVPN de la Beeline, Megafon, Rostelecom etc. Pentru a fi mai ușor, puteți rămâne doar pe unicul nostru VPN, puteți comuta pe internet toate celelalte canale ale altor operatori și apoi vă puteți conecta la Beeline IPVPN prin IPSec și pe internet de la acești operatori.
  • Pentru cei care au deja o rețea IPVPN suprapusă pe Internet.

Dacă implementați totul cu noi, atunci clienții primesc asistență VPN completă, redundanță serioasă a infrastructurii și setări standard care vor funcționa pe orice router cu care sunt obișnuiți (fie Cisco, chiar și Mikrotik, principalul lucru este că poate suporta în mod corespunzător IPSec/IKEv2 cu metode de autentificare standardizate). Apropo, despre IPSec - acum doar îl susținem, dar intenționăm să lansăm operarea cu drepturi depline atât a OpenVPN, cât și a Wireguard, astfel încât clienții să nu poată depinde de protocol și să fie și mai ușor să luăm și să ne transferăm totul, și vrem, de asemenea, să începem conectarea clienților de pe computere și dispozitive mobile (soluții încorporate în sistemul de operare, Cisco AnyConnect și strongSwan și altele asemenea). Cu această abordare, construcția de facto a infrastructurii poate fi predată în siguranță operatorului, lăsând doar configurația CPE-ului sau gazdei.

Cum funcționează procesul de conectare pentru modul IPSec:

  1. Clientul lasă managerului său o solicitare în care indică viteza de conectare necesară, profilul de trafic și parametrii de adresare IP pentru tunel (implicit, o subrețea cu mască /30) și tipul de rutare (static sau BGP). Pentru a transfera rute către rețelele locale ale clientului din biroul conectat, mecanismele IKEv2 ale fazei de protocol IPSec sunt utilizate folosind setările corespunzătoare de pe routerul clientului sau sunt anunțate prin BGP în MPLS din AS BGP privat specificat în aplicația clientului . Astfel, informațiile despre rutele rețelelor client sunt complet controlate de client prin setările routerului client.
  2. Ca răspuns de la managerul său, clientul primește date contabile pentru a le include în VRF-ul său formularul:
    • Adresă IP VPN-HUB
    • Login
    • Parola de autentificare
  3. Configura CPE, mai jos, de exemplu, două opțiuni de configurare de bază:

    Opțiune pentru Cisco:
    inel de chei cripto ikev2 BeelineIPsec_keyring
    peer Beeline_VPNHub
    adresa 62.141.99.183 – Hub VPN Beeline
    pre-shared-key <parolă de autentificare>
    !
    Pentru opțiunea de rutare statică, rutele către rețelele accesibile prin Vpn-hub pot fi specificate în configurația IKEv2 și vor apărea automat ca rute statice în tabelul de rutare CE. Aceste setări pot fi făcute și folosind metoda standard de setare a rutelor statice (vezi mai jos).

    politica de autorizare cripto ikev2 FlexClient-author

    Rută către rețelele din spatele routerului CE – o setare obligatorie pentru rutarea statică între CE și PE. Transferul datelor de rută către PE se realizează automat atunci când tunelul este ridicat prin interacțiunea IKEv2.

    set de rută la distanță ipv4 10.1.1.0 255.255.255.0 – Rețea locală de birou
    !
    crypto ikev2 profile BeelineIPSec_profile
    identitate locală <login>
    autentificare local pre-share
    pre-partajare de la distanță de autentificare
    keyring local BeelineIPsec_keyring
    aaa grup de autorizare psk list group-author-list FlexClient-author
    !
    crypto ikev2 client flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    Conexiune client Tunnel1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    mod tunel
    !
    profil cripto ipsec implicit
    set transform-set TRANSFORM1
    setați ikev2-profile BeelineIPSec_profile
    !
    interfață Tunnel1
    adresa IP 10.20.1.2 255.255.255.252 – Adresa tunelului
    sursa tunel GigabitEthernet0/2 – Interfață de acces la internet
    modul tunel ipsec ipv4
    dinamica destinației tunelului
    protecția tunelului profil ipsec implicit
    !
    Rutele către rețelele private ale clientului accesibile prin concentratorul VPN Beeline pot fi setate static.

    ruta IP 172.16.0.0 255.255.0.0 Tunnel1
    ruta IP 192.168.0.0 255.255.255.0 Tunnel1

    Opțiune pentru Huawei (ar160/120):
    cum ar fi numele-local <login>
    #
    nume acl ipsec 3999
    regula 1 permite sursa ip 10.1.1.0 0.0.0.255 – Rețea locală de birou
    #
    aaa
    schema de servicii IPSEC
    set de rute acl 3999
    #
    ipsec propunere ipsec
    algoritmul de autentificare esp sha2-256
    în special algoritmul de criptare aes-256
    #
    ca propunerea implicită
    algoritmul de criptare aes-256
    dh grupa 2
    algoritm-autentificare sha2-256
    pre-share a metodei de autentificare
    algoritmul de integritate hmac-sha2-256
    prf hmac-sha2-256
    #
    ca peer ipsec
    pre-shared-key simple <parolă de autentificare>
    local-id-type fqdn
    ip de tip ID-ul de la distanță
    adresa de la distanță 62.141.99.183 – Hub VPN Beeline
    schema de servicii IPSEC
    cerere de schimb de configurare
    config-exchange set accept
    config-exchange set trimite
    #
    profil ipsec ipsecprof
    ike-peer ipsec
    propunere ipsec
    #
    interfață Tunnel0/0/0
    adresa IP 10.20.1.2 255.255.255.252 – Adresa tunelului
    tunel-protocol ipsec
    sursă GigabitEthernet0/0/1 – Interfață de acces la internet
    profil ipsec ipsecprof
    #
    Rutele către rețelele private ale clientului accesibile prin concentratorul VPN Beeline pot fi setate static

    ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

Diagrama de comunicare rezultată arată cam așa:

Cum să ajungeți la Beeline IPVPN prin IPSec. Partea 1

Dacă clientul nu are câteva exemple de configurație de bază, atunci de obicei ajutăm la formarea lor și le punem la dispoziție tuturor celorlalți.

Tot ce rămâne este să conectați CPE-ul la Internet, să faceți ping către partea de răspuns a tunelului VPN și orice gazdă din interiorul VPN-ului și gata, putem presupune că conexiunea a fost făcută.

În următorul articol vă vom spune cum am combinat această schemă cu IPSec și MultiSIM Redundancy folosind Huawei CPE: instalăm Huawei CPE-ul nostru pentru clienți, care poate folosi nu numai un canal de Internet prin cablu, ci și 2 cartele SIM diferite și CPE reconstruiește automat tunelul IPSec fie prin WAN cu fir, fie prin radio (LTE#1/LTE#2), realizând o toleranță ridicată la erori a serviciului rezultat.

Mulțumiri speciale colegilor noștri din RnD pentru pregătirea acestui articol (și, de fapt, autorilor acestor soluții tehnice)!

Sursa: www.habr.com

Adauga un comentariu