Kako priti do Beeline IPVPN prek IPSec. 1. del

Zdravo! IN prejšnja objava Delo naše storitve MultiSIM sem opisal deloma rezervacije и uravnoteženje kanalov. Kot omenjeno, odjemalce v omrežje povezujemo preko VPN-ja, danes pa vam bom v tem delu povedal nekaj več o VPN-ju in naših zmožnostih.

Začeti velja z dejstvom, da imamo kot telekomunikacijski operater lastno ogromno omrežje MPLS, ki je za uporabnike fiksne telefonije razdeljeno na dva glavna segmenta - na tistega, ki se uporablja neposredno za dostop do interneta, in tistega, ki uporablja za ustvarjanje izoliranih omrežij — in skozi ta segment MPLS teče promet IPVPN (L3 OSI) in VPLAN (L2 OSI) za naše poslovne stranke.

Kako priti do Beeline IPVPN prek IPSec. 1. del
Običajno se odjemalska povezava pojavi na naslednji način.

Dostopna linija je položena do pisarne stranke od najbližje točke prisotnosti omrežja (vozlišče MEN, RRL, BSSS, FTTB itd.) In nadalje, kanal je registriran prek transportnega omrežja na ustrezen PE-MPLS usmerjevalnik, na katerem ga izpišemo v posebej ustvarjen za odjemalca VRF, ob upoštevanju prometnega profila, ki ga odjemalec potrebuje (oznake profila so izbrane za vsaka dostopna vrata, na podlagi vrednosti prednosti ip 0,1,3,5, XNUMX).

Če iz nekega razloga stranki ne moremo v celoti organizirati zadnjega kilometra, na primer pisarna stranke se nahaja v poslovnem centru, kjer je prednost drug ponudnik, ali preprosto nimamo svoje točke prisotnosti v bližini, potem prej stranke morali ustvariti več omrežij IPVPN pri različnih ponudnikih (stroškovno ne najbolj učinkovita arhitektura) ali samostojno rešiti težave z organizacijo dostopa do vašega VRF prek interneta.

Mnogi so to storili z namestitvijo internetnega prehoda IPVPN – namestili so mejni usmerjevalnik (strojno opremo ali kakšno drugo rešitev, ki temelji na Linux), so nanj prek enih vrat povezali kanal IPVPN in prek drugih internetni kanal, na njem zagnali svoj VPN strežnik in uporabnike povezali prek lastnega VPN prehoda. Seveda pa ta postavitev ustvarja tudi svoja bremena: takšna infrastruktura zahteva strokovno znanje pri gradnji in, kar je najbolj neprijetno, pri delovanju in razvoju.

Da bi našim strankam olajšali življenje, smo namestili centralizirano vozlišče VPN in organizirali podporo za povezave prek interneta z uporabo IPSec, torej morajo zdaj odjemalci samo konfigurirati svoj usmerjevalnik za delo z našim vozliščem VPN prek tunela IPSec prek katerega koli javnega interneta. , in sprostimo promet te stranke v njen VRF.

Kdo bo potreboval

  • Za tiste, ki že imate veliko IPVPN omrežje in potrebujete nove povezave v kratkem času.
  • Vsem, ki želijo iz kakršnega koli razloga del prometa iz javnega interneta prenesti na IPVPN, pa so že prej naleteli na tehnične omejitve, povezane z več ponudniki storitev.
  • Za tiste, ki imajo trenutno več različnih omrežij VPN pri različnih telekomunikacijskih operaterjih. Obstajajo stranke, ki so uspešno organizirale IPVPN od Beeline, Megafon, Rostelecom itd. Da bi bilo lažje, lahko ostanete samo na našem enem VPN-ju, vse druge kanale drugih operaterjev preklopite na internet in se nato prek IPSec-a in interneta teh operaterjev povežete na Beeline IPVPN.
  • Za tiste, ki že imate omrežje IPVPN prekrito na internetu.

Z uvedbo vsega pri nas stranke prejmejo popolno podporo VPN, znatno redundanco infrastrukture in standardne nastavitve, ki bodo delovale na katerem koli usmerjevalniku, ki ga poznajo (naj bo to Cisco ali Mikrotik, če le podpira IPSec/IKEv2 s standardiziranimi metodami preverjanja pristnosti). Ko govorimo o IPSec, trenutno podpiramo samo njega, vendar nameravamo kasneje uvesti polno funkcionalnost. OpenVPNIn WireguardŽelimo strankam olajšati selitev k nam, da bodo lahko protokolno agnostične in še enostavnejše. Prav tako želimo začeti povezovati stranke iz računalnikov in mobilnih naprav (rešitve, integrirane z operacijskim sistemom, Cisco AnyConnect, strongSwan in podobne rešitve). S tem pristopom lahko učinkovito predamo gradnjo infrastrukture operaterju, upravljanje pa ostane le še konfiguracija CPE ali gostitelja.

Kako poteka postopek povezave za način IPSec:

  1. Stranka svojemu upravitelju pusti zahtevo, v kateri navede zahtevano hitrost povezave, prometni profil in parametre IP naslavljanja za tunel (privzeto podomrežje z masko /30) in vrsto usmerjanja (statično ali BGP). Za prenos poti do odjemalčevih lokalnih omrežij v povezani pisarni se uporabljajo mehanizmi IKEv2 faze protokola IPSec z uporabo ustreznih nastavitev na odjemalskem usmerjevalniku ali pa se prek BGP v MPLS oglašujejo iz zasebnega BGP AS, določenega v odjemalčevi aplikaciji. . Tako informacije o poteh odjemalskih omrežij v celoti nadzoruje odjemalec prek nastavitev odjemalskega usmerjevalnika.
  2. V odgovor svojega vodje stranka prejme računovodske podatke za vključitev v svoj VRF obrazca:
    • naslov IP VPN-HUB
    • Prijava
    • Geslo za preverjanje pristnosti
  3. Konfigurira CPE, spodaj, na primer, dve osnovni konfiguracijski možnosti:

    Možnost za Cisco:
    crypto ikev2 obesek za ključe BeelineIPsec_keyring
    vrstnik Beeline_VPNHub
    naslov 62.141.99.183 –VPN vozlišče Beeline
    pre-shared-key <avtentikacijsko geslo>
    !
    Za možnost statičnega usmerjanja lahko v konfiguraciji IKEv2 določite poti do omrežij, dostopnih prek vozlišča Vpn, ki bodo samodejno prikazane kot statične poti v usmerjevalni tabeli CE. Te nastavitve lahko izvedete tudi s standardno metodo nastavljanja statičnih poti (glejte spodaj).

    avtorizacijski pravilnik kripto ikev2 FlexClient-author

    Usmerjanje do omrežij za usmerjevalnikom CE – obvezna nastavitev za statično usmerjanje med CE in PE. Prenos podatkov o poti v PE se izvede samodejno, ko se predor dvigne prek interakcije IKEv2.

    route set remote ipv4 10.1.1.0 255.255.255.0 – Pisarniško lokalno omrežje
    !
    kripto ikev2 profil BeelineIPSec_profile
    lokalna identiteta <prijava>
    avtentikacija lokalna predhodna skupna raba
    oddaljeno predhodno skupno rabo za preverjanje pristnosti
    lokalni obesek za ključe BeelineIPsec_keyring
    aaa avtorizacijska skupina psk seznam skupina-avtor-seznam FlexClient-avtor
    !
    odjemalec crypto ikev2 flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    tunel za povezavo odjemalca1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    način tunel
    !
    privzeti profil crypto ipsec
    set transform-set TRANSFORM1
    nastavite ikev2-profile BeelineIPSec_profile
    !
    vmesnik Tunnel1
    naslov IP 10.20.1.2 255.255.255.252 – Naslov tunela
    izvor tunela GigabitEthernet0/2 – Vmesnik za dostop do interneta
    tunelski način ipsec ipv4
    cilj predora dinamičen
    privzeti profil zaščite tunela ipsec
    !
    Poti do odjemalčevih zasebnih omrežij, dostopnih prek koncentratorja Beeline VPN, je mogoče nastaviti statično.

    ip route 172.16.0.0 255.255.0.0 Tunnel1
    ip route 192.168.0.0 255.255.255.0 Tunnel1

    Možnost za Huawei (ar160/120):
    ike lokalno ime <prijava>
    #
    acl ime ipsec 3999
    pravilo 1 dovoljuje vir ip 10.1.1.0 0.0.0.255 – Pisarniško lokalno omrežje
    #
    aaa
    storitvena shema IPSEC
    set poti acl 3999
    #
    ipsec predlog ipsec
    algoritem za preverjanje pristnosti esp sha2-256
    esp šifrirni algoritem aes-256
    #
    ike predlog privzeto
    šifrirni algoritem aes-256
    dh skupina2
    algoritem za preverjanje pristnosti sha2-256
    predhodna skupna raba metode preverjanja pristnosti
    algoritem celovitosti hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    pre-shared-key simple <Avtentikacijsko geslo>
    lokalni-id-tip fqdn
    oddaljeni-id-tip ip
    oddaljeni naslov 62.141.99.183 –VPN vozlišče Beeline
    storitvena shema IPSEC
    zahteva za izmenjavo konfiguracij
    config-exchange set accept
    nastavitev za izmenjavo konfiguracij pošlji
    #
    ipsec profil ipsecprof
    ike-peer ipsec
    predlog ipsec
    #
    vmesnik Tunnel0/0/0
    naslov IP 10.20.1.2 255.255.255.252 – Naslov tunela
    tunelski protokol ipsec
    vir GigabitEthernet0/0/1 – Vmesnik za dostop do interneta
    ipsec profil ipsecprof
    #
    Poti do odjemalčevih zasebnih omrežij, dostopnih prek koncentratorja Beeline VPN, je mogoče nastaviti statično

    ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

Nastali komunikacijski diagram je videti nekako takole:

Kako priti do Beeline IPVPN prek IPSec. 1. del

Če naročnik nima nekaj primerov osnovne konfiguracije, potem običajno pomagamo pri oblikovanju in jih damo na voljo vsem ostalim.

Vse, kar ostane, je povezati CPE z internetom, pingati do odzivnega dela tunela VPN in katerega koli gostitelja znotraj VPN, in to je to, lahko domnevamo, da je povezava vzpostavljena.

V naslednjem članku vam bomo povedali, kako smo združili to shemo z redundanco IPSec in MultiSIM z uporabo Huawei CPE: namestili smo naš Huawei CPE za odjemalce, ki lahko uporabljajo ne le žični internetni kanal, ampak tudi 2 različni kartici SIM in CPE samodejno obnovi predor IPSec bodisi prek žičnega omrežja WAN ali prek radia (LTE#1/LTE#2), pri čemer doseže visoko toleranco napak nastale storitve.

Posebna zahvala kolegom RnD za pripravo tega članka (in pravzaprav avtorjem teh tehničnih rešitev)!

Vir: www.habr.com

Kupite zanesljivo gostovanje za strani z DDoS zaščito, VPS VDS strežniki 🔥 Kupite zanesljivo spletno gostovanje z zaščito DDoS, VPS VDS strežniki | ProHoster