Clever Geek Handbook

Como chegar ao IPVPN Beeline via IPSec. Parte 2

Olá! Como prometido, neste post falarei sobre a combinação de nossa Reserva MultiSIM e IPVPN sobre serviços IPSec. Por si só os serviços IPSec são bons, o serviço funciona através de um fornecedor de Internet por cabo, mas gostaria de alguma forma reservar a inclusão ou disponibilizar um serviço onde não haja Internet por cabo, mas apenas LTE.











Na versão clássica da Reserva MultiSIM, ao fornecer serviços IPVPN em duas redes móveis, existem os seguintes problemas:



  1. Para cada cliente, você precisa criar seu próprio APN privado, configurar BGP ou roteamento estático nele e calcular imediatamente o número necessário de hosts para o plano de endereçamento IP correto.
  2. , , .
  3. ().
  4. IPVPN LTE , , — IPVPN LTE «».


Por outro lado, temos o IPSec, no qual todas as configurações de roteamento e cliente são abstraídas do transporte, seja um canal de Internet com fio ou LTE de diferentes operadoras, e as etiquetas de tráfego também podem ser armazenadas dentro do túnel, embora sem fornecer SLA, desde a Internet e, especialmente, LTE / 3G é um meio bastante imprevisível para transmissão de dados.



Portanto, tivemos uma ideia - "Por que não usar IPsec sobre LTE também?" Coloque cartões SIM padrão com APNs pré-criados em roteadores e construa IPSEC por meio deles para nosso HUB VPN e libere o cliente para seu VRF. E se houver um canal com fio, use uma conexão com fio como o transporte principal e, em caso de acidente, troque o tráfego para LTE.



Assim, o diagrama de rede começou a ficar assim:





Clicável



O cliente obtém até três canais WAN de uma vez, que desempenharão a função de "underlay" para o tráfego IPSec:



  1. Canal de acesso à Internet com fio.
  2. A primeira (principal) rede LTE.
  3. Segunda rede LTE (backup) (se necessário).


Agora resta escolher e configurar um roteador para esta opção de entrega de serviço.



Configurando um roteador



Ao escolher um roteador, estávamos interessados ​​em dois modelos da Huawei - AR161 e AR129. Eles têm suporte para IPSec, um modem LTE com suporte para dois cartões SIM, 4 portas Ethernet LAN + 1 Ethernet WAN, e o modelo AR129 também tem WiFi, ou seja, tudo que é necessário para o nosso circuito funcionar, e até um pouco mais.



Mas com as configurações, tudo ficou muito mais complicado.



Ao configurar roteadores para redundância Multisim, enfrentamos o problema de prioridades entre WAN com fio e duas redes LTE para escolher a melhor rota de tráfego.



O Huawei AR161 / 129 possui duas ferramentas para isso:



  • Funcionalidade de análise de qualidade de rede (também conhecida como teste NQA).

    Conduz testes básicos com solicitações icmp para o host especificado para determinar sua disponibilidade.
  • Sistema de programação aberto (OPS) + funcionalidade Python.

    Uma ferramenta muito poderosa, que permite salvar informações em logs e realizar trocas "inteligentes" baseadas em estatísticas icmp, mas também difíceis de aprender.


Para resolver nosso problema, escolhemos a funcionalidade OPS + Python para habilitar apenas dois SIMs LTE e o modo misto para a Internet + dois SIMs LTE.



Uma configuração aproximada em roteadores é a seguinte:



No caso de apenas 2 conexões Sim LTE



#  IP    WAN  (  DHCP)
interface GigabitEthernet0/0/4
ip address dhcp-alloc

# APN , Cellular0/0/0 
apn profile [APN #1]
 apn [APN 1 NAME]
apn profile [APN #2]
 apn [APN 2 NAME]
 sim-id 2

# Cellular0/0/0 
interface Cellular0/0/0
dialer enable-circular
 apn-profile [APN #1] priority 120
 apn-profile [APN #2]
 dialer timer autodial 60
 profile create lte-default [APN #1] sim-id 1 
 profile create lte-default [APN #2] sim-id 2
 ip address negotiate
modem reboot

# IPSec 
ipsec authentication sha2 compatible enable
ike local-name [IPSEC_LOGIN]

#   IPSec 
ipsec proposal ipsec
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256
ike proposal 1
 encryption-algorithm aes-256
 dh group2
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256  	                  

#  IPSec 
ike peer ipsec_1
 pre-shared-key simple [IPSEC_PASSWORD]
 ike-proposal 1
 local-id-type fqdn
 remote-id-type ip
 dpd type periodic
 dpd idle-time 10
 dpd retransmit-interval 2
 remote-address 100.64.0.100
 route accept
 config-exchange request
 config-exchange set accept
 config-exchange set send
ipsec profile ipsecprof_1
 ike-peer ipsec_1
 proposal ipsec 

# IPSec -
interface Tunnel0/0/0
tunnel-protocol ipsec
 ip address [ IP   - Huawei]  255.255.255.252
source Cellular0/0/0
ipsec profile ipsecprof_1 

# 
ip route-static 0.0.0.0 0.0.0.0 Tunnel0/0/0
ip route-static [VPN HUB INTERNAL ADDRESS] 255.255.0.0 Cellular0/0/0


Em caso de Internet + 2x Sim LTE-inclusão



#  IP    WAN  (  DHCP)
interface GigabitEthernet0/0/4
ip address dhcp-alloc

# APN , Cellular0/0/0 
apn profile [APN #1]
 apn [APN 1 NAME]
apn profile [APN #2]
 apn [APN 2 NAME]
 sim-id 2

# Cellular0/0/0 
interface Cellular0/0/0
dialer enable-circular
 apn-profile [APN #1] priority 120
 apn-profile [APN #2]
 dialer timer autodial 60
 profile create lte-default [APN #1] sim-id 1 
 profile create lte-default [APN #2] sim-id 2
 ip address negotiate
modem reboot

# IPSec 
ipsec authentication sha2 compatible enable
ike local-name [IPSEC_LOGIN]

#   IPSec 
ipsec proposal ipsec
 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256
ike proposal 1
 encryption-algorithm aes-256
 dh group2
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256  	                  

#  IPSec 
ike peer ipsec_1
 pre-shared-key simple [IPSEC_PASSWORD]
 ike-proposal 1
 local-id-type fqdn
 remote-id-type ip
 dpd type periodic
 dpd idle-time 10
 dpd retransmit-interval 2
 remote-address 81.211.80.50
 route accept
 config-exchange request
 config-exchange set accept
 config-exchange set send
ipsec profile ipsecprof_1
 ike-peer ipsec_1
 proposal ipsec
 
ike peer ipsec_2
 pre-shared-key simple [IPSEC_PASSWORD]
 ike-proposal 1
 local-id-type fqdn
 remote-id-type ip
 dpd type periodic
 dpd idle-time 10
 dpd retransmit-interval 2
 remote-address [VPN HUB INTERNAL ADDRESS]
 route accept
 config-exchange request
 config-exchange set accept
 config-exchange set send
ipsec profile ipsecprof_2
 ike-peer ipsec_2
 proposal ipsec

# IPSec-
interface LoopBack32
 ip address [ IP   - Huawei]  255.255.255.252
 
interface Tunnel0/0/0
ip address unnumbered interface LoopBack32
tunnel-protocol ipsec
 source GigabitEthernet0/0/1
 ipsec profile ipsecprof_1

interface Tunnel0/0/1
ip address unnumbered interface LoopBack32
tunnel-protocol ipsec
 source Cellular0/0/0
 ipsec profile ipsecprof_2

#   (   )
nqa test-instance [username] inet
 test-type icmp
 destination-address ipv4 81.211.80.50
 source-interface GigabitEthernet0/0/4
 frequency 16
 probe-count 2
 start now

# 
ip route-static 81.211.80.50 255.255.255.255 GigabitEthernet 0/0/4 dhcp track nqa [username] inet
ip route-static [VPN HUB INTERNAL ADDRESS] 255.255.255.255 NULL0 track nqa [username] inet
ip route-static [VPN HUB INTERNAL ADDRESS] 255.255.0.0 Cellular0/0/0 preference 70
ip route-static 80.240.216.155 255.255.255.255 GigabitEthernet 0/0/4 dhcp
ip route-static 194.67.0.206 255.255.255.255 GigabitEthernet 0/0/4 dhcp




Tudo, o roteador configurado pode ser instalado no cliente.



Planos



Dos planos para desenvolver esta solução:



  1. Faça o mesmo, mas em roteadores Cisco / Mikrotik.
  2. Traduzir toda a lógica de comutação apenas para OPS + Python


Nos artigos a seguir, contaremos como fizemos amizade com os serviços de reserva Multisim com nosso Cloud PBX , criamos o modo L2 sobre L3 no mesmo Huawei usando x-connect, esquematizamos scripts para trocar cartões SIM em Python e falamos sobre a implantação USB em roteadores.



Agradeço aos meus colegas da RnD, especialmente Denis Zinchenko (Dzinch) e Andrey Voronov na preparação dessas soluções técnicas e na ajuda na redação do artigo!



PS: A primeira parte do post está aqui .


More articles:


All Articles