Вітання! У я описав роботу нашого сервісу MultiSIM у частині и каналів. Як було згадано, клієнтів до мережі ми підключаємо через VPN і сьогодні я розповім трохи більше про VPN і наші можливості в цій частині.
Почати варто з того, що у нас, як у оператора зв'язку, є своя величезна MPLS-мережа, яка для клієнтів фіксованого зв'язку поділена на два основні сегменти — той, що використовується безпосередньо для доступу до мережі Інтернет, і той, що використовується для створення ізольованих мереж і саме через цей сегмент MPLS ходить трафік IPVPN (L3 OSI) та VPLAN (L2 OSI) для наших корпоративних клієнтів.
Зазвичай підключення клієнта відбувається так.
До офісу клієнта прокладається лінія доступу від найближчої точки присутності мережі (вузла MEN, РРЛ, БССС, FTTB і т.д.) і далі, канал прописується по транспортній мережі до відповідного РЕ-MPLS-маршрутизатора, на якому ми виводимо її в спеціально створюваний для клієнта VRF з урахуванням профілю трафіку, який необхідний клієнту (мітки профілю вибираються для кожного порту доступу, спираючись на значення ip precedence 0,1,3,5).
Якщо з якихось причин ми не можемо повноцінно організувати у клієнта останню милю, наприклад, офіс клієнта знаходиться в бізнес-центрі, де в пріоритеті інший провайдер, або поруч просто немає нашої точки присутності, то раніше клієнтам доводилося створювати кілька IPVPN-мереж різних провайдерів (не найвигідніша за ціною архітектура) або самостійно вирішувати питання з організацією доступу до свого VRF поверх мережі Інтернет.
Багато хто робив це за допомогою установки IPVPN-інтернет шлюзу - встановлювали граничний маршрутизатор (апаратний або будь-яке рішення на базі Linux), підключали до нього одним портом IPVPN-канал, а іншим - Інтернет-канал, запускали на ньому свій VPN-сервер і підключали користувачів через власний VPN-шлюз. Звичайно, така схема породжує і обтяження: подібну інфраструктуру потрібно вміти будувати і, що найнезручніше — експлуатувати та розвивати.
Щоб спростити нашим клієнтам життя, ми встановили централізований VPN-хаб та організували підтримку включень поверх інтернету з використанням IPSec, тобто тепер клієнтам, потрібно лише налаштувати свій роутер для роботи з нашим VPN-хабом через IPSec-тунель через будь-який публічний інтернет, і ми випустимо трафік цього клієнта у його VRF.
Кому знадобиться
- Тим, у кого вже існує велика мережа IPVPN і виникають потреби в нових підключеннях в стислі терміни.
- Всім, хто з якихось причин хоче перенести частину трафіку з публічного інтернету до IPVPN, але раніше стикався з технічними обмеженнями, пов'язаними з кількома провайдерами послуг.
- Тим, хто зараз має кілька розрізнених VPN-мереж у різних операторів зв'язку. Існують клієнти, у яких успішно організовані IPVPN і від Білайн, і від Мегафон, і Ростелеком і т.д. Щоб стало простіше, можна залишитися тільки на нашому єдиному VPN, решту всіх каналів інших операторів переключити на інтернет, після чого підключатися до IPVPN Білайн через IPSec та інтернет від цих операторів.
- Тим, хто вже має IPVPN-мережу, накладена на Інтернет.
Якщо розгорнути все у нас, то клієнти отримують і повноцінний саппорт з VPN, і серйозне резервування інфраструктури, і типові налаштування, які запрацюють на будь-якому звичному для нього роутері (будь то Cisco, хоч Mikrotik, головне, щоб умів нормально підтримувати IPSec/IKEv2 із стандартизованими методами аутентифікації). До речі, про IPSec — зараз ми підтримуємо тільки його, але в планах запустити повноцінну роботу і OpenVPN, і Wireguard, щоб клієнти могли не залежати від протоколу і ще простіше взяти і перенести все до нас, а також хочемо почати підключати клієнтів з комп'ютерів і мобільних пристроїв (вбудовані в ОС рішення, Cisco AnyConnect і strongSwan та подібні). За такого підходу де-факто побудову інфраструктури можна сміливо віддати оператору, залишивши лише налаштування СРЕ чи хоста.
Як відбувається процес підключення для IPSec:
- Клієнт залишає заявку своєму менеджеру в якій вказує необхідну швидкість підключення, профіль трафіку та параметри IP адресації для тунелю (за замовчуванням підсіти з маскою /30) та тип маршрутизації (статика або BGP). Для передачі маршрутів до локальних мереж клієнта в офісі, що підключається, використовуються механізми IKEv2 фази протоколу IPSec за допомогою відповідних налаштувань на клієнтському маршрутизаторі, або анонсуються по BGP в MPLS із зазначеного в заявці клієнтом приватного BGP AS. Таким чином, інформація про маршрути клієнтських мереж повністю контролюється клієнтом через налаштування клієнтського маршрутизатора.
- У відповідь від свого менеджера клієнт отримує акаунтингові дані для включення до свого VRF виду:
- IP-адреса VPN-HUB
- Логін
- Пароль автентифікації
- Налаштовує СЕРЕ, нижче, наприклад два варіанти базової конфігурації:
Варіант для Сisco:
crypto ikev2 keyring BeelineIPsec_keyring
peer Beeline_VPNHub
адреса 62.141.99.183 –VPN концентратор Білайн
pre-shared-key <Пароль автентифікації>
!
Для варіанта зі статичною маршрутизацією маршрути до мереж, доступних через Vpn-hub, можуть бути задані в налаштуванні IKEv2 і вони автоматично з'являться як статичні маршрути в таблиці маршрутизації РЄ. Дані настройки можна зробити також і стандартним способом завдання статичних маршрутів (див.нижче).crypto ikev2 authorization policy FlexClient-author
Маршрут до мереж за РЄ маршрутизатором – обов'язкове налаштування при статичній маршрутизації між РЄ та PE. Передача даних маршрутів на РЕ здійснюється автоматично при піднятті тунелю через IKEv2 взаємодію.
route set remote ipv4 10.1.1.0 255.255.255.0 -Локальна мережа офісу
!
crypto ikev2 profile BeelineIPSec_profile
identity local < логін >
authentication local pre-share
authentication remote pre-share
keyring local BeelineIPsec_keyring
aaa authorization group psk list group-author-list FlexClient-author
!
crypto ikev2 client flexvpn BeelineIPsec_flex
peer 1 Beeline_VPNHub
client connect Tunnel1
!
crypto ipsec transform-set TRANSFORM1 esp-aes 256 esp-sha256-hmac
mode tunnel
!
crypto ipsec profile default
set transform-set TRANSFORM1
set ikev2-profile BeelineIPSec_profile
!
інтерфейс Tunnel1
IP-адреса 10.20.1.2 255.255.255.252 -Адреса тунелю
tunnel source GigabitEthernet0/2 –Інтерфейс доступу до Інтернету
tunnel mode ipsec ipv4
tunel destination dynamic
tunnel protection ipsec profile default
!
Маршрути до приватних мереж клієнта, доступних через VPN концентратор Білайн, можна встановити статично.ip route 172.16.0.0 255.255.0.0 Tunnel1
ip route 192.168.0.0 255.255.255.0 Tunnel1Варіант для Huawei (ar160/120):
ike local-name < логін >
#
acl name ipsec 3999
rule 1 permit ip source 10.1.1.0 0.0.0.255 -Локальна мережа офісу
#
ааа
service-scheme IPSEC
route set acl 3999
#
ipsec proposal ipsec
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
ike proposal default
encryption-algorithm aes-256
dh group2
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer ipsec
pre-shared-key simple <Пароль автентифікації>
local-id-type fqdn
remote-id-type ip
remote-address 62.141.99.183 –VPN концентратор Білайн
service-scheme IPSEC
config-exchange request
config-exchange set accept
config-exchange set send
#
ipsec profile ipsecprof
ike-peer ipsec
proposal ipsec
#
interface Tunnel0/0/0
IP-адреса 10.20.1.2 255.255.255.252 -Адреса тунелю
tunnel-protocol ipsec
source GigabitEthernet0/0/1 –Інтерфейс доступу до Інтернету
ipsec profile ipsecprof
#
Маршрути до приватних мереж клієнта, доступних через VPN концентратор Білайн, можна задати статичноip route-static 192.168.0.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.0.0 255.255.0.0 Tunnel0/0/0
Отримана схема зв'язку виглядає приблизно так:
Якщо якихось прикладів базової конфігурації немає у клієнта — ми зазвичай допомагаємо зі своїми формуванням і робимо доступними всім інших.
Залишилося підключити СРЕ в Інтернет, зробити ping до частини VPN-тунелю і будь-якого хоста всередині VPN, і все, можна вважати, що підключення відбулося.
У наступній статті розповімо, як ми скомбінували цю схему з IPSec та MultiSIM Резервуванням за допомогою CPE Huawei: ставимо клієнтам наше CPE Huawei, в якому може використовуватися не тільки дротовий інтернет канал, а й 2 різні SIM-карти, і CPE автоматично перебудовує IPSec- тунель або через провідний WAN, або через радіо (LTE#1/LTE#2), реалізуючи високу стійкість до відмови підсумкового сервісу.
Окреме спасибі за підготовку цієї статті (і, власне, авторам цих технічних рішень) колегам з нашого RnD!
Джерело: habr.com