ProHoster > Blog > Uprava > Kako priti do Beeline IPVPN prek IPSec. 1. del

Kako priti do Beeline IPVPN prek IPSec. 1. del

Zdravo! IN prejšnja objava Delo naše storitve MultiSIM sem opisal deloma rezervacije и uravnoteženje kanalov. Kot omenjeno, odjemalce v omrežje povezujemo preko VPN-ja, danes pa vam bom v tem delu povedal nekaj več o VPN-ju in naših zmožnostih.

Začeti velja z dejstvom, da imamo kot telekomunikacijski operater lastno ogromno omrežje MPLS, ki je za uporabnike fiksne telefonije razdeljeno na dva glavna segmenta - na tistega, ki se uporablja neposredno za dostop do interneta, in tistega, ki uporablja za ustvarjanje izoliranih omrežij — in skozi ta segment MPLS teče promet IPVPN (L3 OSI) in VPLAN (L2 OSI) za naše poslovne stranke.

Kako priti do Beeline IPVPN prek IPSec. 1. del
Običajno se odjemalska povezava pojavi na naslednji način.

Dostopna linija je položena do pisarne stranke od najbližje točke prisotnosti omrežja (vozlišče MEN, RRL, BSSS, FTTB itd.) In nadalje, kanal je registriran prek transportnega omrežja na ustrezen PE-MPLS usmerjevalnik, na katerem ga izpišemo v posebej ustvarjen za odjemalca VRF, ob upoštevanju prometnega profila, ki ga odjemalec potrebuje (oznake profila so izbrane za vsaka dostopna vrata, na podlagi vrednosti prednosti ip 0,1,3,5, XNUMX).

Če iz nekega razloga stranki ne moremo v celoti organizirati zadnjega kilometra, na primer pisarna stranke se nahaja v poslovnem centru, kjer je prednost drug ponudnik, ali preprosto nimamo svoje točke prisotnosti v bližini, potem prej stranke morali ustvariti več omrežij IPVPN pri različnih ponudnikih (stroškovno ne najbolj učinkovita arhitektura) ali samostojno rešiti težave z organizacijo dostopa do vašega VRF prek interneta.

Mnogi so to storili tako, da so namestili internetni prehod IPVPN - namestili so mejni usmerjevalnik (strojno ali kakšno rešitev, ki temelji na Linuxu), nanj z enimi vrati povezali kanal IPVPN, z drugimi pa internetni kanal, na njem zagnali svoj strežnik VPN in se povezali uporabnikov prek lastnega prehoda VPN. Seveda takšna shema ustvarja tudi bremena: takšno infrastrukturo je treba graditi in, kar je najbolj neprijetno, upravljati in razvijati.

Da bi našim strankam olajšali življenje, smo namestili centralizirano vozlišče VPN in organizirali podporo za povezave prek interneta z uporabo IPSec, torej morajo zdaj odjemalci samo konfigurirati svoj usmerjevalnik za delo z našim vozliščem VPN prek tunela IPSec prek katerega koli javnega interneta. , in sprostimo promet te stranke v njen VRF.

Kdo bo potreboval

  • Za tiste, ki že imate veliko IPVPN omrežje in potrebujete nove povezave v kratkem času.
  • Vsem, ki želijo iz kakršnega koli razloga del prometa iz javnega interneta prenesti na IPVPN, pa so že prej naleteli na tehnične omejitve, povezane z več ponudniki storitev.
  • Za tiste, ki imajo trenutno več različnih omrežij VPN pri različnih telekomunikacijskih operaterjih. Obstajajo stranke, ki so uspešno organizirale IPVPN od Beeline, Megafon, Rostelecom itd. Da bi bilo lažje, lahko ostanete samo na našem enem VPN-ju, vse druge kanale drugih operaterjev preklopite na internet in se nato prek IPSec-a in interneta teh operaterjev povežete na Beeline IPVPN.
  • Za tiste, ki že imate omrežje IPVPN prekrito na internetu.

Če vse namestite pri nas, potem odjemalci prejmejo popolno podporo za VPN, resno redundanco infrastrukture in standardne nastavitve, ki bodo delovale na katerem koli usmerjevalniku, ki so ga vajeni (pa naj bo to Cisco, tudi Mikrotik, glavno je, da lahko ustrezno podpira IPSec/IKEv2 s standardiziranimi metodami preverjanja pristnosti). Mimogrede, o IPSec - trenutno ga podpiramo samo, vendar nameravamo zagnati polnopravno delovanje tako OpenVPN kot Wireguard, tako da stranke ne morejo biti odvisne od protokola in je še lažje prevzeti in prenesti vse k nam, želimo pa tudi začeti povezovati odjemalce iz računalnikov in mobilnih naprav (rešitve vgrajene v OS, Cisco AnyConnect in strongSwan ipd.). S tem pristopom se lahko de facto konstrukcija infrastrukture varno preda operaterju, pri čemer ostane samo konfiguracija CPE ali gostitelja.

Kako poteka postopek povezave za način IPSec:

  1. Stranka svojemu upravitelju pusti zahtevo, v kateri navede zahtevano hitrost povezave, prometni profil in parametre IP naslavljanja za tunel (privzeto podomrežje z masko /30) in vrsto usmerjanja (statično ali BGP). Za prenos poti do odjemalčevih lokalnih omrežij v povezani pisarni se uporabljajo mehanizmi IKEv2 faze protokola IPSec z uporabo ustreznih nastavitev na odjemalskem usmerjevalniku ali pa se prek BGP v MPLS oglašujejo iz zasebnega BGP AS, določenega v odjemalčevi aplikaciji. . Tako informacije o poteh odjemalskih omrežij v celoti nadzoruje odjemalec prek nastavitev odjemalskega usmerjevalnika.
  2. V odgovor svojega vodje stranka prejme računovodske podatke za vključitev v svoj VRF obrazca:
    • naslov IP VPN-HUB
    • Prijava
    • Geslo za preverjanje pristnosti
  3. Konfigurira CPE, spodaj, na primer, dve osnovni konfiguracijski možnosti:

    Možnost za Cisco:
    crypto ikev2 obesek za ključe BeelineIPsec_keyring
    vrstnik Beeline_VPNHub
    naslov 62.141.99.183 –VPN vozlišče Beeline
    pre-shared-key <avtentikacijsko geslo>
    !
    Za možnost statičnega usmerjanja lahko v konfiguraciji IKEv2 določite poti do omrežij, dostopnih prek vozlišča Vpn, ki bodo samodejno prikazane kot statične poti v usmerjevalni tabeli CE. Te nastavitve lahko izvedete tudi s standardno metodo nastavljanja statičnih poti (glejte spodaj).

    avtorizacijski pravilnik kripto ikev2 FlexClient-author

    Usmerjanje do omrežij za usmerjevalnikom CE – obvezna nastavitev za statično usmerjanje med CE in PE. Prenos podatkov o poti v PE se izvede samodejno, ko se predor dvigne prek interakcije IKEv2.

    route set remote ipv4 10.1.1.0 255.255.255.0 – Pisarniško lokalno omrežje
    !
    kripto ikev2 profil BeelineIPSec_profile
    lokalna identiteta <prijava>
    avtentikacija lokalna predhodna skupna raba
    oddaljeno predhodno skupno rabo za preverjanje pristnosti
    lokalni obesek za ključe BeelineIPsec_keyring
    aaa avtorizacijska skupina psk seznam skupina-avtor-seznam FlexClient-avtor
    !
    odjemalec crypto ikev2 flexvpn BeelineIPsec_flex
    peer 1 Beeline_VPNHub
    tunel za povezavo odjemalca1
    !
    crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
    način tunel
    !
    privzeti profil crypto ipsec
    set transform-set TRANSFORM1
    nastavite ikev2-profile BeelineIPSec_profile
    !
    vmesnik Tunnel1
    naslov IP 10.20.1.2 255.255.255.252 – Naslov tunela
    izvor tunela GigabitEthernet0/2 – Vmesnik za dostop do interneta
    tunelski način ipsec ipv4
    cilj predora dinamičen
    privzeti profil zaščite tunela ipsec
    !
    Poti do odjemalčevih zasebnih omrežij, dostopnih prek koncentratorja Beeline VPN, je mogoče nastaviti statično.

    ip route 172.16.0.0 255.255.0.0 Tunnel1
    ip route 192.168.0.0 255.255.255.0 Tunnel1

    Možnost za Huawei (ar160/120):
    ike lokalno ime <prijava>
    #
    acl ime ipsec 3999
    pravilo 1 dovoljuje vir ip 10.1.1.0 0.0.0.255 – Pisarniško lokalno omrežje
    #
    aaa
    storitvena shema IPSEC
    set poti acl 3999
    #
    ipsec predlog ipsec
    algoritem za preverjanje pristnosti esp sha2-256
    esp šifrirni algoritem aes-256
    #
    ike predlog privzeto
    šifrirni algoritem aes-256
    dh skupina2
    algoritem za preverjanje pristnosti sha2-256
    predhodna skupna raba metode preverjanja pristnosti
    algoritem celovitosti hmac-sha2-256
    prf hmac-sha2-256
    #
    ike peer ipsec
    pre-shared-key simple <Avtentikacijsko geslo>
    lokalni-id-tip fqdn
    oddaljeni-id-tip ip
    oddaljeni naslov 62.141.99.183 –VPN vozlišče Beeline
    storitvena shema IPSEC
    zahteva za izmenjavo konfiguracij
    config-exchange set accept
    nastavitev za izmenjavo konfiguracij pošlji
    #
    ipsec profil ipsecprof
    ike-peer ipsec
    predlog ipsec
    #
    vmesnik Tunnel0/0/0
    naslov IP 10.20.1.2 255.255.255.252 – Naslov tunela
    tunelski protokol ipsec
    vir GigabitEthernet0/0/1 – Vmesnik za dostop do interneta
    ipsec profil ipsecprof
    #
    Poti do odjemalčevih zasebnih omrežij, dostopnih prek koncentratorja Beeline VPN, je mogoče nastaviti statično

    ip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
    ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0

Nastali komunikacijski diagram je videti nekako takole:

Kako priti do Beeline IPVPN prek IPSec. 1. del

Če naročnik nima nekaj primerov osnovne konfiguracije, potem običajno pomagamo pri oblikovanju in jih damo na voljo vsem ostalim.

Vse, kar ostane, je povezati CPE z internetom, pingati do odzivnega dela tunela VPN in katerega koli gostitelja znotraj VPN, in to je to, lahko domnevamo, da je povezava vzpostavljena.

V naslednjem članku vam bomo povedali, kako smo združili to shemo z redundanco IPSec in MultiSIM z uporabo Huawei CPE: namestili smo naš Huawei CPE za odjemalce, ki lahko uporabljajo ne le žični internetni kanal, ampak tudi 2 različni kartici SIM in CPE samodejno obnovi predor IPSec bodisi prek žičnega omrežja WAN ali prek radia (LTE#1/LTE#2), pri čemer doseže visoko toleranco napak nastale storitve.

Posebna zahvala kolegom RnD za pripravo tega članka (in pravzaprav avtorjem teh tehničnih rešitev)!

Vir: www.habr.com

Dodaj komentar