In Runet gibt es immer noch ĂŒberraschend wenig Material ĂŒber ein so altes und einfaches, aber bequemes, sicheres und besonders relevantes Produkt im Zusammenhang mit der Entwicklung von Technologien fĂŒr das Internet der Dinge wie mobiles VPN (virtuelles privates Netzwerk). In diesem Artikel werde ich beschreiben, wie und warum Sie den Zugriff auf Ihr privates Netzwerk auf jedes GerĂ€t mit einer SIM-Karte konfigurieren können, ohne dass spezielle Software darauf konfiguriert werden muss.
Aufgaben und EinschrÀnkungen
ZunĂ€chst beantworte ich die Frage âWarum?â. VPN als Technologie wird verwendet, um eine Vielzahl von Netzwerkproblemen zu lösen, die durch ein gemeinsames Merkmal verbunden sind - die isolierte Ăbertragung von Daten zwischen zwei GerĂ€ten ĂŒber eine groĂe Anzahl von Zwischenknoten. Auf dieser Grundlage werden bereits komplexere Lösungen erstellt und die sehr unterschiedlichen Aufgaben gelöst. Im ĂŒblichen Fall, der fĂŒr alle ĂŒblich ist, wird ein Festnetznetz verwendet, um ein VPN (es gibt
groĂartiges Material fĂŒr diejenigen, die es wĂŒnschen) oder viele verschiedene Netzwerkprotokolle (GRE, IPSec, L2TP und andere - derselbe Autor) und die mit ihnen arbeitenden Softwareprodukte (Cisco) zu erstellen AnyConnect, OpenVPN, TOR - na ja, Sie wissen selbst), aber ihre Verwendung auf einem bestimmten EndgerĂ€t stellt sofort eine Reihe von Anforderungen an das GerĂ€t, deren Ausfall zu bestimmten EinschrĂ€nkungen fĂŒhrt.
Die erste schwerwiegende EinschrĂ€nkung besteht darin, dass das GerĂ€t in der Lage sein muss, mit mindestens einem dieser Protokolle auf Hardware- und Softwareebene zu arbeiten. Dies wird meistens durch Software bestimmt, die fĂŒr einen Laptop oder ein Smartphone leicht zu finden ist. Es gibt jedoch FĂ€lle, in denen die Aufgabe mit einem GerĂ€t konfrontiert ist, das aus Hardware-Sicht zu einfach ist, oder dessen Software EinschrĂ€nkungen aufweist: Der WasserzĂ€hler möchte ein VPN verwenden, um sein unglĂŒckliches Byte an Messwerten zu ĂŒbertragen Einmal im Monat möchten Sie Ihr LinkedIn-Profil mit einem VPN bearbeiten.
Eine weitere wichtige EinschrĂ€nkung ist die Notwendigkeit einer Anpassung. Es funktioniert sowohl fĂŒr âdummeâ GerĂ€te aus dem ersten Absatz als auch fĂŒr klassische Smartphones und Computer, fĂŒr die die vorherige EinschrĂ€nkung unbekannt ist. Und wenn bei ersteren alles relativ einfach ist und von der Zeit abhĂ€ngt, die fĂŒr das Setup aufgewendet wird, gibt es bei letzteren Optionen. HĂ€ufig verwenden Unternehmen aus SicherheitsgrĂŒnden VPNs, um das Serviceterminal vor dem Zugriff auf das öffentliche Netzwerk ohne angemessenen Unternehmensschutz oder vor der Ăbertragung von Servicedaten ĂŒber öffentliche KanĂ€le zu schĂŒtzen. Endbenutzer können jedoch aus irgendeinem Grund die Verbindung trennen oder vergessen, VPN zu aktivieren, wodurch viele Sicherheitssysteme des Unternehmens möglicherweise zurĂŒckbleiben.
Diese beiden EinschrĂ€nkungen können leicht aufgehoben werden, wenn der Zugriff auf das VPN auf Netzwerkebene bereitgestellt wird. Bei der Mobilkommunikation kann dies ĂŒber das "Mobile VPN" implementiert werden. Ein GerĂ€t beliebiger KomplexitĂ€t, das Daten ĂŒbertragen kann, ĂŒbertrĂ€gt diese an das richtige Netzwerk. Es spielt keine Rolle, welche Einstellungen auf dem GerĂ€t vorgenommen werden. Wenn das Netzwerk ordnungsgemÀà konfiguriert ist, werden sie auf jeden Fall an den gewĂŒnschten Ort und nirgendwo anders ĂŒbertragen.
Als netten Bonus erhĂ€lt das GerĂ€t eine Adresse aus dem internen Netzwerk, die remote konfiguriert wurde, und der Zugriff darauf ist nur ĂŒber dieses Netzwerk (oder physisch) möglich. FĂŒr eine bestimmte GerĂ€teklasse ist dies sehr wichtig.
Wie funktioniert es?
PS Core
Es scheint, dass VPN ein klassischer Dienst aller Telekommunikationsbetreiber fĂŒr das B2B-Segment ist, und warum sollten Sie sich dann darauf konzentrieren? Die Sache ist, wie das Datennetz fĂŒr GerĂ€te angeordnet ist, die ĂŒber GPRS, HSPA, LTE oder andere mobile Kommunikationstechnologien verbunden sind. Es gibt kein vlan, das allen Netzwerkadministratoren bekannt ist, es gibt keine Switches, es gibt nicht einmal Router in ihrer ĂŒblichen Bedeutung. Es gibt jedoch ein Funkzugangsnetz (RAN) und einen Paketkern (PS Core).
Ein vereinfachtes Diagramm eines Paketnetzes eines Mobilfunkbetreibers. Es ist etwas anders fĂŒr LTE, aber die allgemeine Bedeutung bleibt gleich.Im Allgemeinen sollte jedes GerĂ€t mit einer im Paketnetzwerk registrierten SIM-Karte (nachdem es das GPRS-Verbindungsverfahren oder dergleichen bestanden hat) vor dem Beginn der DatenĂŒbertragung die Erstellung einer DatenĂŒbertragungssitzung (PDP-Kontext) auf dem Paketnetzwerk-Kernrouter GGSN initiieren . Die Details und der Zweck dieser Prozesse werden hier in
diesem Artikel sehr gut beschrieben. Was fĂŒr uns wichtig ist: Beim Initiieren einer Sitzung enthĂ€lt die Anfrage an GGSN unter anderem Parameter, die viele auf ihren Telefonen gesehen oder sogar beim Einrichten von beispielsweise USB-Modems behandelt haben. Dies sind drei Felder: APN, Login und Passwort. APN (Access Point) ist eine sehr wichtige EntitĂ€t in der Logik des GGSN: Je nachdem, mit welchem ââAPN die Sitzung initiiert wird, verhĂ€lt sich der GGSN auf unterschiedliche Weise. Infolge der erfolgreichen Verarbeitung einer Benutzeranforderung muss der GGSN eine DatenĂŒbertragungssitzung aktivieren und das GerĂ€t ĂŒber seine Parameter informieren, insbesondere ĂŒber die dem GerĂ€t angegebene IP-Adresse und die DNS-Adressen. Es gibt eine Reihe wichtiger, sehr wichtiger Merkmale:
- Bei einer Anforderung zum Initiieren einer Sitzung fragt das GerÀt niemals, welche IP-Adresse es erhalten möchte.
- ZusĂ€tzlich zu den in den GerĂ€teeinstellungen angegebenen Feldern "APN", "Login" und "Passwort" ĂŒbertrĂ€gt die Anforderung an GGSN auch die Telefonnummer (MSISDN) des Teilnehmers (im Folgenden "Teilnehmer" ist der Endbenutzer, ein GerĂ€t mit einer SIM-Karte und) "Kunde" - der Organisationskunde des Dienstes, zu dem auch Abonnenten gehören);
- Wenn eine Sitzung aktiviert ist, erstellt GGSN einen Datensatz der neuen IP-Adresse in seiner Routing-Tabelle. Alle Teilnehmer am GGSN werden durch EintrÀge in der Routing-Tabelle mit dem PrÀfix / 32 angezeigt, d. H. 1 Teilnehmer - 1 Eintrag in der Tabelle. GGSN ist ein sehr produktiver Router.
- Das Netzwerk eines Betreibers kann in verschiedenen Phasen (sowohl auf SGSN als auch auf GGSN) aus verschiedenen GrĂŒnden das APN-Feld in einer Anforderung zum Initiieren einer Sitzung Ă€ndern. Dies ermöglicht es in einigen FĂ€llen, die Netzwerkeinstellungen auf GerĂ€ten mit einer SIM-Karte zu reduzieren und in einigen FĂ€llen vollstĂ€ndig auszuschlieĂen.
Bei den ersten drei Punkten stellt sich sofort die Frage: Welche Art von IP-Adresse wird dem Teilnehmer erteilt?
Dies wird durch die Einstellungen des APN bestimmt, mit denen die Anforderung zum Aktivieren der Sitzung kam. Etwa 99% der Benutzer mobiler Daten nutzen den regulÀren Internetzugang. Dies sind internet.mts.ru, internet.beeline.ru usw. bekannte Zugangspunkte. Beim Internetzugang vergibt GGSN Adressen nach dem klassischen DHCP-Prinzip aus den in den Einstellungen angegebenen grauen Subnetzen. Beim Zugriff auf das öffentliche Netzwerk werden sie vom klassischen NAT (oder vielmehr von seiner Version PAT) geschlossen.
Aber GGSN kann mehr. Um eine IP-Adresse auszuwĂ€hlen, kann er eine AAA-Anfrage an den Autorisierungsserver (z. B. Radius) senden. Diese Logik wird je nach Verwendungszweck fĂŒr einzelne APNs konfiguriert. Der einfachste Fall ist der Dienst der Bereitstellung einer permanenten öffentlichen IP-Adresse. Solche Adressen werden in der Regel Abonnenten in der Abrechnung des Betreibers (BSS) zugewiesen und landen je nach IT-Architektur in einer bestimmten Datenbank, auf die ĂŒber die GGSN-Anforderung zugegriffen wird. Aufgrund der Tatsache, dass er die MSISDN (Telefonnummer) des Teilnehmers kennt, die in der Anfrage enthalten sein wird, ist eine solche Datenbank recht einfach und enthĂ€lt möglicherweise nur eine Reihe von Nummern und Adressen. Wenn der Client beabsichtigt, eine SIM-Karte zum Verbinden mehrerer GerĂ€te zu verwenden (wenn sich die SIM-Karte beispielsweise im WLAN-Router des Remote-BĂŒros befindet), enthĂ€lt diese Tabelle möglicherweise auch die sogenannte âgerahmte Routeâ - das NetzwerkprĂ€fix â fĂŒr âeine SIM-Karte, die allen GerĂ€ten im Netzwerk mithilfe dynamischer Routing-Protokolle angekĂŒndigt wird.
Kein einziger GGSN
ZusĂ€tzlich zur Ausgabe von Adressen ist es auch erforderlich, Teilnehmerverkehr an Client-Netzwerke zu liefern, von denen jeder fĂŒr sich ist. Hier funktioniert alles viel traditioneller. Bei GGSN wird der fĂŒr die Arbeit mit VPN APN spezialisierte Datenverkehr an einen separaten Router des Netzes des Betreibers weitergeleitet (kann anders bezeichnet werden, manchmal handelt es sich um einen VPN-Router), der wiederum die Funktion eines klassischen PE im L3VPN-Schema ausfĂŒhrt. Es fĂŒgt die erforderlichen Beschriftungen, Header und das alles hinzu und sendet den gesamten Verkehrsfluss ĂŒber die Router des Transportnetzwerks an die vorkonfigurierten Verbindungen oder Tunnel an das Client-Netzwerk. Dieser Teil ist bereits viel traditioneller und wird an anderer Stelle oft beschrieben, daher werde ich mich in diesem Material nicht darauf konzentrieren.
Angesichts all dieser Details gibt es verschiedene Möglichkeiten, ein mobiles VPN zu organisieren, und sie unterscheiden sich durch eine Kombination der folgenden Funktionen voneinander:
- IP-Adressen können, wie bereits beschrieben, dynamisch (jedes Mal eine andere Adresse aus einem bestimmten Subnetz) und statisch (jedes Mal dieselbe Adresse fĂŒr einen bestimmten Teilnehmer) vergeben werden, was durch / oder die APN-Einstellungen und / oder die Einstellungen des Radius-Servers bestimmt wird ;;
- IP-Adressen können von einem Radius-Server unter Bediener- oder Client-Kontrolle vergeben werden.
- GerĂ€te, die mit einem mobilen VPN verbunden sind, können entweder nur miteinander interagieren oder ĂŒber eine direkte Schnittstelle (VPN-Port) mit einem Betreiber oder durch Tunneln ĂŒber das Internet auf ein normales L3VPN-Client-Netzwerk zugreifen.
- In einigen FĂ€llen kann es erforderlich sein, einen Benutzernamen und ein Kennwort zu verwenden, um eine Sitzung erfolgreich zu aktivieren, und manchmal ist es nicht einmal erforderlich, das Feld âAPNâ auszufĂŒllen.
Es gibt mehrere Dutzend solcher Kombinationen mit verschiedenen Arten des Tunnelns, bei denen der Datenverkehr zwischen den ZugriffskanĂ€len zum âHauptâ -VPN-Client und dem Prinzip der Adressausgabe ausgeglichen wird. In den meisten FĂ€llen lautet das allgemeine Schema wie folgt:
Infolgedessen erhÀlt das GerÀt nach einem relativ schnellen Prozess der Registrierung im Netzwerk und dem Abrufen einer IP-Adresse Zugriff auf das Client-Netzwerk und das Client-Netzwerk Zugriff auf das GerÀt. Gleichzeitig ist der Abonnent von allen anderen Abonnenten des Betreibers isoliert, die nicht mit einem bestimmten Client verbunden sind, er benötigt keine zusÀtzlichen Einstellungen und der gesamte Datenverkehr wird ohne Alternative an das Netzwerk des Clients gesendet, wo er gemÀà den internen Richtlinien des Clients verarbeitet wird.