ProHoster > Blog > Administrácia > Ako sa dostať do Beeline IPVPN cez IPSec. Časť 1

Ako sa dostať do Beeline IPVPN cez IPSec. Časť 1

Ahoj! IN predchádzajúci príspevok Čiastočne som opísal prácu našej MultiSIM služby rezervácie и vyrovnávanie kanálov. Ako už bolo spomenuté, klientov pripájame k sieti cez VPN a dnes vám v tejto časti poviem niečo viac o VPN a našich možnostiach.

Oplatí sa začať tým, že my ako telekomunikačný operátor máme vlastnú obrovskú MPLS sieť, ktorá je pre zákazníkov pevných liniek rozdelená na dva hlavné segmenty – ten, ktorý slúži priamo na prístup do internetu, a ten, ktorý je používa na vytváranie izolovaných sietí — a práve cez tento segment MPLS prúdi prevádzka IPVPN (L3 OSI) a VPLAN (L2 OSI) pre našich firemných klientov.

Ako sa dostať do Beeline IPVPN cez IPSec. Časť 1
Pripojenie klienta sa zvyčajne vyskytuje nasledovne.

Do kancelárie klienta je položená prístupová linka z najbližšieho bodu prítomnosti siete (uzol MEN, RRL, BSSS, FTTB atď.) a ďalej je kanál zaregistrovaný cez transportnú sieť do zodpovedajúceho PE-MPLS. router, na ktorom ho vydáme do špeciálne vytvoreného pre klienta VRF, berúc do úvahy dopravný profil, ktorý klient potrebuje (označenie profilu sa vyberá pre každý prístupový port na základe hodnôt ip priority 0,1,3,5, XNUMX).

Ak z nejakého dôvodu nemôžeme úplne zorganizovať poslednú míľu pre klienta, napríklad kancelária klienta sa nachádza v obchodnom centre, kde je prioritou iný poskytovateľ, alebo jednoducho nemáme svoje miesto prítomnosti v blízkosti, potom klienti museli vytvoriť niekoľko sietí IPVPN u rôznych poskytovateľov (nie je to nákladovo najefektívnejšia architektúra) alebo nezávisle vyriešiť problémy s organizáciou prístupu k vášmu VRF cez internet.

Mnohí to urobili tak, že si nainštalovali internetovú bránu IPVPN – nainštalovali hraničný smerovač (hardvér alebo nejaké riešenie založené na Linuxe), pripojili k nemu kanál IPVPN s jedným portom a internetový kanál s druhým, spustili na ňom svoj VPN server a pripojili sa používateľov prostredníctvom vlastnej brány VPN. Prirodzene, takáto schéma tiež vytvára záťaž: takáto infraštruktúra sa musí vybudovať a čo je najnevhodnejšie, prevádzkovať a rozvíjať.

Aby sme našim klientom uľahčili život, nainštalovali sme centralizovaný rozbočovač VPN a zorganizovali podporu pre pripojenia cez internet pomocou protokolu IPSec, to znamená, že teraz klienti musia nakonfigurovať svoj smerovač tak, aby fungoval s našim rozbočovačom VPN prostredníctvom tunela IPSec cez akýkoľvek verejný internet. , a uvoľníme návštevnosť tohto klienta do jeho VRF.

Kto bude potrebovať

  • Pre tých, ktorí už majú veľkú sieť IPVPN a potrebujú nové pripojenia v krátkom čase.
  • Každý, kto chce z nejakého dôvodu presunúť časť prevádzky z verejného internetu do IPVPN, no už predtým narazil na technické obmedzenia spojené s viacerými poskytovateľmi služieb.
  • Pre tých, ktorí v súčasnosti majú niekoľko rôznych sietí VPN medzi rôznymi telekomunikačnými operátormi. Existujú klienti, ktorí úspešne zorganizovali IPVPN od spoločností Beeline, Megafon, Rostelecom atď. Aby ste to uľahčili, môžete zostať iba na našej jedinej VPN, prepnúť všetky ostatné kanály iných operátorov na internet a potom sa pripojiť k Beeline IPVPN cez IPSec a internet od týchto operátorov.
  • Pre tých, ktorí už majú IPVPN sieť prekrytú na internete.

Ak všetko nasadíte u nás, klienti získajú plnohodnotnú podporu VPN, serióznu redundanciu infraštruktúry a štandardné nastavenia, ktoré budú fungovať na akomkoľvek routeri, na ktorý sú zvyknutí (či už je to Cisco, dokonca aj Mikrotik, hlavné je, že dokáže správne podporovať IPSec/IKEv2 so štandardizovanými metódami autentifikácie). Mimochodom, o IPSec - zatiaľ ho podporujeme iba my, ale plánujeme spustiť plnohodnotnú prevádzku OpenVPN aj Wireguardu, aby klienti neboli závislí na protokole a aby bolo ešte jednoduchšie všetko brať a prenášať k nám, a tiež chceme začať pripájať klientov z počítačov a mobilných zariadení (riešenia zabudované v OS, Cisco AnyConnect a strongSwan a podobne). S týmto prístupom môže byť de facto výstavba infraštruktúry bezpečne odovzdaná operátorovi, pričom zostane len konfigurácia CPE alebo hostiteľa.

Ako funguje proces pripojenia v režime IPSec:

  1. Klient zanechá svojmu manažérovi požiadavku, v ktorej uvedie požadovanú rýchlosť pripojenia, dopravný profil a parametre IP adresovania pre tunel (štandardne podsieť s maskou /30) a typ smerovania (statické alebo BGP). Na prenos trás do lokálnych sietí klienta v pripojenej kancelárii sa využívajú mechanizmy IKEv2 fázy protokolu IPSec pomocou príslušných nastavení na klientskom routeri, alebo sú inzerované cez BGP v MPLS z privátneho BGP AS špecifikovaného v klientskej aplikácii. . Informácie o trasách klientskych sietí sú teda úplne kontrolované klientom prostredníctvom nastavení klientskeho smerovača.
  2. V odpovedi od svojho manažéra dostane klient účtovné údaje na zahrnutie do jeho VRF vo forme:
    • IP adresa VPN-HUB
    • Prihlásenie
    • Autentifikačné heslo
  3. Konfiguruje CPE, nižšie napríklad dve základné možnosti konfigurácie:

    Možnosť pre Cisco:
    crypto ikev2 keyring BeelineIPsec_keyring
    peer Beeline_VPNHub
    adresu 62.141.99.183 –VPN hub Beeline
    predzdieľaný kľúč <Autentifikačné heslo>
    !
    Pre možnosť statického smerovania je možné v konfigurácii IKEv2 špecifikovať trasy do sietí prístupných cez Vpn-hub a automaticky sa zobrazia ako statické trasy v smerovacej tabuľke CE. Tieto nastavenia je možné vykonať aj štandardným spôsobom nastavenia statických trás (pozri nižšie).

    crypto ikev2 autorizačná politika FlexClient-author

    Smerovať do sietí za CE routerom – povinné nastavenie pre statické smerovanie medzi CE a PE. Prenos údajov o trase do PE sa vykonáva automaticky, keď je tunel vytvorený prostredníctvom interakcie IKEv2.

    nastavená trasa vzdialená ipv4 10.1.1.0 255.255.255.0 – Lokálna sieť kancelárie
    !
    krypto ikev2 profil BeelineIPSec_profile
    lokálna identita <login>
    autentifikácia lokálne pre-zdieľanie
    overenie vzdialeného predzdieľania
    lokálny zväzok kľúčov BeelineIPsec_keyring
    aaa autorizačná skupina psk zoznam skupina-autor-zoznam FlexClient-author
    !
    crypto ikev2 klient flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    Tunel pripojenia klienta1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    tunel režimu
    !
    predvolený profil krypto ipsec
    set transform-set TRANSFORM1
    nastaviť ikev2-profile BeelineIPSec_profile
    !
    rozhranie Tunnel1
    IP adresa 10.20.1.2 255.255.255.252 – adresa tunela
    tunelový zdroj GigabitEthernet0/2 – Rozhranie pre prístup na internet
    tunelový režim ipsec ipv4
    dynamický cieľ tunela
    Ochrana tunela predvolený profil ipsec
    !
    Trasy do privátnych sietí klienta prístupných cez koncentrátor Beeline VPN je možné nastaviť staticky.

    ip trasa 172.16.0.0 255.255.0.0 Tunel1
    ip trasa 192.168.0.0 255.255.255.0 Tunel1

    Možnosť pre Huawei (ar160/120):
    ike local-name <login>
    #
    názov acl ipsec 3999
    pravidlo 1 povoľuje zdroj IP 10.1.1.0 0.0.0.255 – Lokálna sieť kancelárie
    #
    aaa
    servisná schéma IPSEC
    nastavená trasa acl 3999
    #
    Návrh ipsec ipsec
    esp autentifikačný-algoritmus sha2-256
    esp šifrovací algoritmus aes-256
    #
    ike predvolená ponuka
    šifrovací algoritmus aes-256
    dh skupina2
    autentifikačný algoritmus sha2-256
    autentizačná metóda predbežné zdieľanie
    integritný-algoritmus hmac-sha2-256
    prf hmac-sha2-256
    #
    ajke peer ipsec
    jednoduchý predzdieľaný kľúč <Autentifikačné heslo>
    local-id-type fqdn
    IP typu vzdialeného ID
    vzdialená adresa 62.141.99.183 –VPN hub Beeline
    servisná schéma IPSEC
    požiadavka na výmenu konfigurácií
    config-exchange set akceptovať
    config-exchange set odoslať
    #
    ipsec profil ipsecprof
    ike-peer ipsec
    návrh ipsec
    #
    rozhranie Tunnel0/0/0
    IP adresa 10.20.1.2 255.255.255.252 – adresa tunela
    tunel-protokol ipsec
    zdroj GigabitEthernet0/0/1 – Rozhranie pre prístup na internet
    ipsec profil ipsecprof
    #
    Trasy do privátnych sietí klienta prístupných cez koncentrátor Beeline VPN je možné nastaviť staticky

    IP route-static 192.168.0.0 255.255.255.0 Tunel0/0/0
    IP route-static 172.16.0.0 255.255.0.0 Tunel0/0/0

Výsledný komunikačný diagram vyzerá asi takto:

Ako sa dostať do Beeline IPVPN cez IPSec. Časť 1

Ak klient nemá nejaké príklady základnej konfigurácie, tak väčšinou pomôžeme s ich vytvorením a sprístupníme ich všetkým ostatným.

Zostáva len pripojiť CPE k internetu, ping na odpoveď tunela VPN a akéhokoľvek hostiteľa vo vnútri VPN, a to je všetko, môžeme predpokladať, že pripojenie bolo vytvorené.

V ďalšom článku vám povieme, ako sme túto schému skombinovali s IPSec a MultiSIM Redundancy pomocou Huawei CPE: pre klientov inštalujeme naše Huawei CPE, ktoré môžu využívať nielen káblový internetový kanál, ale aj 2 rôzne SIM karty a CPE. automaticky prebuduje IPSec-tunel buď cez káblovú WAN alebo cez rádio (LTE#1/LTE#2), pričom realizuje vysokú odolnosť voči chybám výslednej služby.

Špeciálne poďakovanie patrí našim kolegom z RnD za prípravu tohto článku (a vlastne aj autorom týchto technických riešení)!

Zdroj: hab.com

Pridať komentár