Masih ada sedikit bahan di Runet tentang yang lama dan sederhana, tetapi nyaman, aman dan sangat relevan sehubungan dengan pengembangan Internet dari hal-hal teknologi seperti VPN mobile (virtual private network). Pada artikel ini saya akan menjelaskan bagaimana dan mengapa Anda dapat mengkonfigurasi akses ke jaringan pribadi Anda ke perangkat apa pun dengan kartu SIM tanpa perlu mengkonfigurasi perangkat lunak khusus di dalamnya.
Tugas dan batasan
Untuk mulai dengan, saya akan menjawab pertanyaan "mengapa?". VPN sebagai teknologi digunakan untuk menyelesaikan berbagai masalah jaringan, disatukan oleh fitur umum - transfer data yang terisolasi antara dua perangkat melalui sejumlah besar node perantara. Berdasarkan ini, solusi yang lebih kompleks sudah dibangun dan tugas yang sangat berbeda sedang diselesaikan. Dalam kasus biasa yang biasa untuk semua orang, jaringan operator telepon tidak bergerak digunakan untuk membangun VPN (ada
bahan bagus untuk mereka yang menginginkannya) atau banyak protokol jaringan yang berbeda (GRE, IPSec, L2TP dan lain-lain - penulis yang sama
tentang hal ini ) dan produk perangkat lunak yang bekerja dengan mereka (Cisco) AnyConnect, OpenVPN, TOR - yah, Anda sendiri tahu), tetapi penggunaannya pada perangkat terminal spesifik segera mengedepankan sejumlah persyaratan untuk itu, kegagalan yang mengarah pada pembatasan tertentu.
Keterbatasan serius pertama adalah bahwa perangkat harus dapat bekerja dengan setidaknya satu dari protokol ini di tingkat perangkat keras dan perangkat lunak. Hal ini paling sering ditentukan oleh perangkat lunak yang mudah ditemukan untuk laptop atau smartphone, tetapi ada kasus ketika tugas dihadapkan dengan perangkat yang terlalu sederhana dari sudut pandang perangkat keras, atau perangkat lunaknya memiliki keterbatasan: meter air ingin menggunakan VPN untuk mengirimkan byte bacaan yang disayangkan. sebulan sekali tidak kurang dari Anda ingin menggunakan VPN untuk mengedit profil LinkedIn Anda.
Keterbatasan penting lainnya adalah perlunya kustomisasi. Ini berfungsi baik untuk perangkat "bodoh" dari paragraf pertama, dan untuk ponsel cerdas dan komputer klasik yang batasan sebelumnya tidak diketahui. Dan jika dengan yang pertama semuanya relatif sederhana dan tergantung pada jumlah waktu yang dihabiskan untuk setup, maka dengan yang kedua ada opsi. Seringkali, organisasi menggunakan VPN untuk tujuan keamanan untuk melindungi terminal layanan dari mengakses jaringan publik tanpa perlindungan perusahaan yang tepat atau dari mentransfer data layanan melalui saluran publik. Namun, pengguna akhir mungkin karena suatu alasan memutuskan atau lupa untuk mengaktifkan VPN, akibatnya banyak sistem keamanan perusahaan mungkin tertinggal.
Kedua pembatasan ini dapat dengan mudah dihapus jika akses ke VPN disediakan di tingkat jaringan. Dalam hal komunikasi seluler, ini dapat diimplementasikan menggunakan "VPN seluler". Perangkat dengan kompleksitas apa pun yang mampu mentransmisikan data akan mengirimkannya ke jaringan yang benar. Tidak masalah apa pun pengaturan yang dibuat pada perangkat, jika jaringan dikonfigurasi dengan benar, dalam hal apa pun itu akan mentransfernya ke tempat yang Anda inginkan, dan di tempat lain.
Dan sebagai bonus yang bagus, perangkat akan menerima alamat dari jaringan internal, yang dikonfigurasikan dari jarak jauh, dan akses ke sana hanya dapat diperoleh dari dalam jaringan ini (atau secara fisik). Untuk kelas perangkat tertentu, ini sangat penting.
Bagaimana cara kerjanya
PS Core
Tampaknya VPN adalah layanan klasik dari semua operator telekomunikasi untuk segmen B2B, dan mengapa, kemudian, fokus pada hal ini? Masalahnya adalah bagaimana jaringan data diatur untuk perangkat yang terhubung melalui GPRS, HSPA, LTE atau teknologi komunikasi seluler lainnya. Tidak ada vlan yang akrab bagi semua administrator jaringan, tidak ada switch, bahkan tidak ada router dalam arti biasa. Tetapi ada jaringan akses radio (RAN) dan paket inti (PS Core).
Diagram disederhanakan dari jaringan paket operator seluler. Ini sedikit berbeda untuk LTE, tetapi arti umum tetap sama.Secara umum, setiap perangkat dengan kartu SIM terdaftar dalam jaringan paket (setelah melewati prosedur melampirkan GPRS atau sejenisnya), sebelum mulai mentransfer data di suatu tempat, harus memulai pembuatan sesi transfer data (konteks PDP) pada router inti jaringan paket, GGSN . Rincian dan tujuan dari proses ini dijelaskan dengan sangat baik di sini di
artikel ini . Yang penting bagi kami: saat memulai sesi, permintaan untuk GGSN, antara lain, mencakup parameter yang banyak dilihat di ponsel mereka atau bahkan ditangani saat mengatur, misalnya, modem usb. Ini adalah tiga bidang: APN, login dan kata sandi. APN (titik akses) adalah entitas yang sangat penting dalam logika GGSN: tergantung pada APN mana sesi dimulai, GGSN bertindak dengan cara yang berbeda. Sebagai hasil pemrosesan yang berhasil dari permintaan pengguna, GGSN harus mengaktifkan sesi transfer data dan menginformasikan perangkat tentang parameternya, khususnya, alamat IP dan alamat DNS yang diberikan kepada perangkat. Ada sejumlah fitur penting yang sangat penting:
- Dalam permintaan untuk memulai sesi, perangkat tidak pernah menanyakan alamat IP apa yang ingin diterima;
- Selain bidang "APN", "login" dan "kata sandi" yang ditentukan dalam pengaturan perangkat, permintaan untuk GGSN juga mentransfer nomor telepon (MSISDN) dari pelanggan (selanjutnya "pelanggan" adalah pengguna akhir, satu perangkat dengan kartu SIM, dan "Klien" - organisasi-pelanggan dari layanan, yang mencakup pelanggan);
- Saat sesi diaktifkan, GGSN membuat catatan alamat IP baru di tabel peruteannya. Semua pelanggan pada GGSN ditunjukkan oleh entri dalam tabel routing dengan awalan / 32, yaitu 1 pelanggan - 1 entri dalam tabel. GGSN adalah router yang sangat produktif;
- Jaringan operator dapat pada tahap yang berbeda (baik pada SGSN dan GGSN) karena berbagai alasan mengubah bidang APN dalam permintaan untuk memulai sesi. Dalam beberapa kasus ini memungkinkan untuk mengurangi, dan dalam beberapa kasus untuk sepenuhnya mengecualikan pengaturan jaringan pada perangkat dengan kartu SIM.
Pada tiga poin pertama, pertanyaan segera muncul: alamat IP seperti apa yang diberikan kepada pelanggan?
Ini ditentukan oleh pengaturan APN yang dengannya permintaan untuk mengaktifkan sesi datang. Sekitar 99% pengguna data seluler menggunakan akses Internet biasa. Ini adalah internet.mts.ru, internet.beeline.ru, dan sebagainya, jalur akses terkenal. Dalam hal akses Internet, GGSN mengeluarkan alamat sesuai dengan prinsip DHCP klasik dari subnet abu-abu yang ditentukan dalam pengaturan. Saat mengakses jaringan publik, mereka ditutup oleh NAT klasik (atau lebih tepatnya, menurut versinya, yaitu PAT).
Tetapi GGSN mampu melakukan lebih. Untuk memilih alamat IP, ia dapat membuat permintaan AAA ke server otorisasi (Radius, misalnya). Logika ini dikonfigurasi untuk masing-masing APN tergantung pada tujuannya. Kasus paling sederhana adalah layanan penyediaan alamat IP publik permanen. Alamat tersebut, sebagai suatu peraturan, ditugaskan untuk pelanggan dalam penagihan operator (BSS), dan bergantung pada arsitektur TI, alamat tersebut berakhir pada basis data tertentu, yang diakses oleh permintaan GGSN. Karena fakta bahwa ia mengetahui MSISDN (nomor telepon) pelanggan, yang akan terkandung dalam permintaan, database seperti itu akan sangat sederhana dan mungkin hanya berisi banyak nomor dan alamat. Selain itu, jika klien berencana untuk menggunakan satu kartu SIM untuk menghubungkan beberapa perangkat (jika kartu SIM terletak di router WiFi dari kantor jarak jauh, misalnya), tabel ini juga dapat berisi apa yang disebut "rute berbingkai" - awalan jaringan terletak " untuk "kartu SIM, yang akan diumumkan ke semua perangkat di jaringan menggunakan protokol routing dinamis.
Bukan GGSN tunggal
Selain mengeluarkan alamat, perlu juga mengirimkan lalu lintas pelanggan ke jaringan klien, masing-masing ke miliknya. Di sini semuanya bekerja jauh lebih tradisional. Pada GGSN, lalu lintas yang khusus untuk bekerja dengan VPN APN dirutekan ke router terpisah dari jaringan operator (dapat disebut berbeda, kadang-kadang itu adalah router VPN), yang pada gilirannya menjalankan fungsi PE klasik dalam skema L3VPN. Itu menambahkan label yang diperlukan, header, dan itu semua dan mengirimkan semua arus lalu lintas ini melalui router dari jaringan transportasi ke sambungan atau terowongan yang telah dikonfigurasi sebelumnya ke jaringan klien. Bagian ini sudah jauh lebih tradisional dan berkali-kali dijelaskan di tempat lain, jadi saya tidak akan fokus pada materi ini.
Dengan semua perincian ini, ada beberapa cara untuk mengatur VPN seluler, dan keduanya akan berbeda satu sama lain dengan kombinasi fitur berikut:
- Alamat IP, sebagaimana telah dijelaskan, dapat dikeluarkan secara dinamis (setiap kali alamat berbeda dari subnet yang diberikan) dan secara statis (setiap kali alamat yang sama untuk pelanggan tertentu), yang ditentukan oleh keduanya / atau pengaturan APN dan / atau pengaturan server Radius ;
- Alamat IP dapat dikeluarkan oleh server Radius di bawah kendali operator atau di bawah kendali klien;
- Perangkat yang terhubung ke VPN seluler hanya dapat berinteraksi satu sama lain, atau memiliki akses ke jaringan klien L3VPN biasa melalui antarmuka langsung (port VPN) dengan operator atau melalui tunneling melalui Internet;
- Dalam beberapa kasus, menggunakan nama pengguna dan kata sandi untuk mengaktifkan sesi dengan sukses mungkin diperlukan, dan kadang-kadang bahkan tidak perlu mengisi bidang “APN”.
Ada beberapa lusin kombinasi semacam itu dengan berbagai jenis tunneling, menyeimbangkan lalu lintas antara saluran akses ke klien VPN "utama" dan prinsip mengeluarkan alamat. Untuk sebagian besar kasus, skema umum adalah sebagai berikut:
Akibatnya, setelah proses pendaftaran yang cukup cepat di jaringan dan mendapatkan alamat IP, perangkat mendapatkan akses ke jaringan klien, dan jaringan klien mendapatkan akses ke perangkat. Pada saat yang sama, pelanggan diisolasi dari semua pelanggan lain dari operator yang tidak terkait dengan klien tertentu, ia tidak memerlukan pengaturan tambahan, dan semua lalu lintas dikirim ke jaringan klien tanpa alternatif, di mana ia diproses sesuai dengan kebijakan internal klien.