Mən hər biri OpenWRT ilə marşrutlaşdırıcıları şlüz kimi istifadə edən üç coğrafi baxımdan uzaq mənzillərdə şəbəkələri bir ümumi şəbəkədə birləşdirmək təcrübəmi bölüşmək istərdim. Bütün şəbəkə qovşaqlarının eyni alt şəbəkədə olacağı zaman L3-ün alt şəbəkə marşrutlaşdırması və L2-nin körpü ilə birləşdirilməsi metodunu seçərkən, konfiqurasiya etmək daha çətin olan, lakin şəffaf olduğundan daha çox imkan verən ikinci üsula üstünlük verilir. yaradılmış Wake-on-Lan və DLNA şəbəkəsində texnologiyalardan istifadə nəzərdə tutulmuşdu.
1-ci hissə: Fon
Bu tapşırığı yerinə yetirmək üçün seçilmiş protokol əvvəlcə OpenVPN, çünki, birincisi, körpüyə heç bir problem olmadan əlavə edilə bilən bir kran cihazı yarada bilər və ikincisi, OpenVPN TCP-ni dəstəkləyir, bu da vacib idi, çünki mənzillərin heç birində xüsusi IP ünvanı yox idi. Nədənsə internet provayderim şəbəkələrindən daxil olan UDP əlaqələrini blokladığı üçün STUN-dan istifadə edə bilmədim. TCP mənə VPN server portunu SSH istifadə edərək icarəyə götürülmüş VPS-ə yönləndirməyə imkan verdi. Məlumatlar ikiqat şifrələndiyindən bu yanaşma əhəmiyyətli bir xərc yaratsa da, VPS-i şəxsi şəbəkəmə inteqrasiya etmək istəmədim, çünki üçüncü tərəflərin ona nəzarəti ələ keçirmə riski var idi. Buna görə də, ev şəbəkəmdə belə bir cihazın olması çox arzuolunmaz idi, ona görə də təhlükəsizlik üçün əhəmiyyətli bir xərc ödəməyə qərar verdim.
Serverin yerləşdirilməsi planlaşdırılan routerdəki portu yönləndirmək üçün sshtunnel proqramından istifadə etdim. Onun konfiqurasiyasının təfərrüatlarına girməyəcəyəm - bu, olduqca asandır. Sadəcə qeyd edim ki, onun məqsədi routerdən 1194 TCP portunu VPS-ə yönləndirmək idi. Daha sonra serveri konfiqurasiya etdim. OpenVPN br-lan körpüsünə qoşulmuş tap0 cihazında. Noutbukumdan yeni yaradılmış serverə bağlantını sınaqdan keçirdikdən sonra məlum oldu ki, port yönləndirmə ideyası işə yarayıb və dizüstü kompüterim fiziki olaraq router şəbəkəsinin bir hissəsi olmasa da, router şəbəkəsinin üzvü olub.
Ediləsi tək şey IP ünvanlarını fərqli mənzillərdə paylamaq idi ki, onlar ziddiyyət təşkil etməsin və marşrutlaşdırıcıları konfiqurasiya etsinlər. OpenVPN-müştərilər.
Aşağıdakı marşrutlaşdırıcı IP ünvanları və DHCP server diapazonları seçildi:
- 192.168.10.1 diapazonu ilə 192.168.10.2 - 192.168.10.80 server üçün
- 192.168.10.100 diapazonu ilə 192.168.10.101 - 192.168.10.149 2 nömrəli mənzildə marşrutlaşdırıcı üçün
- 192.168.10.150 diapazonu ilə 192.168.10.151 - 192.168.10.199 3 nömrəli mənzildə marşrutlaşdırıcı üçün
Bu ünvanları müştəri marşrutlaşdırıcılarına təyin etmək də lazım idi. OpenVPN-server, konfiqurasiyasına aşağıdakı sətri əlavə etməklə:
ifconfig-pool-persist /etc/openvpn/ipp.txt 0və /etc/openvpn/ipp.txt faylına aşağıdakı sətirləri əlavə edin:
flat1_id 192.168.10.100
flat2_id 192.168.10.150
burada flat1_id və flat2_id qoşulmaq üçün sertifikatlar yaratarkən göstərilən cihaz adlarıdır OpenVPN
Daha sonra, marşrutlaşdırıcılar konfiqurasiya edildi OpenVPN- klientlər, hər ikisindəki tap0 cihazları br-lan körpüsünə əlavə edildi. Bu nöqtədə hər şey yaxşı görünürdü, çünki hər üç şəbəkə bir-birini görə və tək bir vahid kimi fəaliyyət göstərə bilirdi. Lakin, olduqca xoşagəlməz bir detal ortaya çıxdı: bəzən cihazlar səhv routerdən IP ünvanı alır və bütün sonrakı nəticələrə səbəb olurdu. Nədənsə, mənzillərdən birindəki router DHCPDISCOVER-ə vaxtında cavab verə bilmirdi və cihaz səhv ünvan alırdı. Hər routerdə tap0-da bu cür sorğuları süzgəcdən keçirməli olduğumu başa düşdüm, amma məlum oldu ki, iptables körpünün bir hissəsidirsə, cihazla işləyə bilməz, ona görə də ebtables istifadə etməli oldum. Təəssüf ki, proqram təminatımda bu yox idi, ona görə də hər cihaz üçün şəkilləri yenidən yaratmalı oldum. Bunu etdikdən və hər routerdə /etc/rc.local faylına aşağıdakı sətirləri əlavə etdikdən sonra problem həll edildi:
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
Bu konfiqurasiya üç il davam etdi.
2-ci hissə: Tanışlıq WireGuard
Son zamanlar internetdə bu barədə daha çox müzakirələr gedir WireGuard, konfiqurasiyasının asanlığına, yüksək ötürmə sürətinə, aşağı pingə və müqayisə edilə bilən təhlükəsizliyə heyran qalır. Haqqında əlavə məlumat axtarışı zamanı onun nə körpü üzvü, nə də TCP protokol dəstəyini dəstəkləmədiyi aşkar edildi və bu da məni alternativ olmadığına inandırdı. OpenVPN Mənim üçün hələ də yoxdur. Ona görə də tanımağı təxirə saldım WireGuard.
Bir neçə gün əvvəl İT ilə əlaqəli mənbələrdə bu və ya digər şəkildə xəbərlər yayıldı WireGuard nəhayət nüvəyə daxil ediləcək Linux, 5.6 versiyasından başlayaraq. Xəbər məqalələri, həmişə olduğu kimi, tərifləndi WireGuardYenidən köhnə yaxşı şeyləri əvəz etməyin yollarını axtarmağa başladım OpenVPNBu dəfə rastlaşdım . GRE-dən istifadə edərək L3 üzərindən Ethernet tunelinin yaradılmasından bəhs edilirdi. Bu yazı mənə ümid verdi. UDP protokolu ilə nə edəcəyi aydın deyildi. Axtarış məni UDP portunu yönləndirmək üçün SSH tuneli ilə birlikdə socat-dan istifadə haqqında məqalələrə apardı, lakin onlar qeyd etdilər ki, bu yanaşma yalnız bir əlaqə rejimində işləyir, yəni birdən çox VPN müştərisi mümkün olmayacaq. Mən VPS-də VPN server qurmaq və müştərilər üçün GRE qurmaq ideyası ilə çıxış etdim, lakin məlum oldu ki, GRE şifrələməni dəstəkləmir, bu da üçüncü tərəflərin serverə giriş əldə etməsinə səbəb olacaq. , şəbəkələrim arasındakı bütün trafik onların əlindədir, bu da mənə heç uyğun gəlmirdi.
Yenə də, aşağıdakı sxemə uyğun olaraq VPN üzərindən VPN istifadə edərək, lazımsız şifrələmənin lehinə qərar verildi:
Layer XNUMX VPN:
VPS edir server daxili ünvanı ilə 192.168.30.1
MS edir müştəri Daxili ünvanı olan VPS 192.168.30.2
MK2 edir müştəri Daxili ünvanı olan VPS 192.168.30.3
MK3 edir müştəri Daxili ünvanı olan VPS 192.168.30.4
Layer XNUMX VPN:
MS edir server xarici ünvan 192.168.30.2 və daxili 192.168.31.1
MK2 edir müştəri MS 192.168.30.2 ünvanı ilə və 192.168.31.2 daxili IP-yə malikdir.
MK3 edir müştəri MS 192.168.30.2 ünvanı ilə və 192.168.31.3 daxili IP-yə malikdir.
* MS - mənzil 1-də marşrutlaşdırıcı-server, MK2 - 2 nömrəli mənzildə marşrutlaşdırıcı, MK3 - 3 nömrəli mənzildə marşrutlaşdırıcı
* Cihaz konfiqurasiyaları məqalənin sonundakı spoylerdə dərc olunub.
Beləliklə, 192.168.31.0/24 şəbəkəsinin qovşaqları arasında pinglər getdi, GRE tunelinin qurulmasına keçməyin vaxtı gəldi. Bundan əvvəl, marşrutlaşdırıcılara girişi itirməmək üçün 22-ci portu VPS-ə yönləndirmək üçün SSH tunellərini qurmağa dəyər ki, məsələn, 10022-ci mənzildən bir marşrutlaşdırıcı VPS-in 2 portunda mövcud olsun və 11122-ci mənzildən olan marşrutlaşdırıcı VPS-nin 3-ci portunda mövcud olacaq.Mənzil XNUMX-dən marşrutlaşdırıcı. Eyni sshtunnel ilə yönləndirməni konfiqurasiya etmək daha yaxşıdır, çünki o, düşdüyü halda tuneli bərpa edəcək.
Tunel konfiqurasiya edilib, siz ötürülən port vasitəsilə SSH-ə qoşula bilərsiniz:
ssh root@МОЙ_VPS -p 10022Növbəti addım olaraq deaktiv etməlisiniz OpenVPN:
/etc/init.d/openvpn stopİndi mənzil 2-dən marşrutlaşdırıcıda GRE tuneli quraq:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up
Yaradılmış interfeysi körpüyə əlavə edin:
brctl addif br-lan grelan0
Server marşrutlaşdırıcısında oxşar proseduru yerinə yetirək:
ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up
Həm də yaradılmış interfeysi körpüyə əlavə edin:
brctl addif br-lan grelan0
bu andan etibarən pinglər yeni şəbəkəyə uğurla getməyə başlayır və mən məmnuniyyətlə qəhvə içməyə gedirəm. Sonra telin o biri ucundakı şəbəkənin necə işlədiyini görmək üçün 2-ci mənzildəki kompüterlərdən birinə SSH keçirməyə çalışıram, lakin ssh müştərisi məndən parol tələb etmədən donur. Mən bu kompüterə 22 nömrəli portda telnet vasitəsilə qoşulmağa çalışıram və bağlantının qurulduğunu, SSH serverinin cavab verdiyini başa düşə biləcəyiniz bir xətt görürəm, amma nədənsə mənə daxil olmağı təklif etmir.
$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1
Mən ona VNC vasitəsilə qoşulmağa çalışıram və qara ekran görürəm. Özümü inandırıram ki, məsələ uzaq kompüterdədir, çünki daxili ünvandan istifadə edərək bu mənzildən routerə asanlıqla qoşula bilirəm. Bununla belə, mən marşrutlaşdırıcı vasitəsilə bu kompüterə SSH tətbiq etmək qərarına gəldim və əlaqənin uğurlu olduğunu və uzaq kompüterin yaxşı işlədiyini, lakin mənim kompüterimə də qoşula bilmədiyini görəndə təəccüblənirəm.
grelan0 cihazını körpüdən çıxarıb işə salıram OpenVPN 2 nömrəli mənzildəki routerdə şəbəkənin yenidən düzgün işlədiyini və bağlantıların kəsilmədiyini təsdiqlədim. Axtarış zamanı insanların eyni problemlərdən şikayətləndiyi və MTU-nu artırmaları tövsiyə olunduğu forumlara rast gəldim. Deyilənə görə, dərhal edildi. Lakin, MTU kifayət qədər yüksək - gretap cihazları üçün 7000 - təyin olunana qədər ya TCP bağlantılarının kəsilməsi, ya da aşağı ötürmə sürətləri ilə qarşılaşdım. Gretap üçün yüksək MTU səbəbindən bağlantılar üçün MTU WireGuard Birinci və ikinci səviyyələr müvafiq olaraq 8000 və 7500 olaraq təyin edildi.
Mən 3-cü mənzildən marşrutlaşdırıcıda oxşar quraşdırma etdim, yeganə fərq odur ki, grelan1 adlı ikinci gretap interfeysi server marşrutlaşdırıcısına əlavə edildi və bu da br-lan körpüsünə əlavə edildi.
Hər şey işləyir. İndi gretap montajını avtomatik yükləməyə qoya bilərsiniz. Bunun üçün:
Bu xətləri 2-ci mənzildəki marşrutlaşdırıcıda /etc/rc.local-a yerləşdirin:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
Bunu mənzil 3-dəki marşrutlaşdırıcıda /etc/rc.local-a əlavə etdi:
ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
Və server marşrutlaşdırıcısında:
ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0
ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1
Klient routerlərini yenidən başlatdıqdan sonra, nədənsə serverə qoşulmadıqlarını aşkar etdim. Onların SSH-na qoşulduqdan sonra (xoşbəxtlikdən, əvvəllər bunun üçün sshtunnel-i konfiqurasiya etmişdim), aşkar etdim ki, WireGuard Nədənsə, son nöqtə üçün marşrut yaradır, amma səhvdir. Məsələn, 192.168.30.2 üçün marşrut cədvəli pppoe-wan interfeysi, yəni internet vasitəsilə marşrut göstərirdi, baxmayaraq ki, ona gedən marşrut wg0 interfeysi vasitəsilə yönləndirilməli idi. Bu marşrutu sildikdən sonra əlaqə bərpa edildi. Məcbur etmək üçün təlimatları hər hansı bir yerdə tapa bilərəmmi? WireGuard Bu marşrutları yaratmaqdan qaça bilməzdim. Üstəlik, bunun OpenWRT-nin, yoxsa onun bir xüsusiyyəti olduğunu belə başa düşə bilmirdim. WireGuardProblemi həll etməyə çox vaxt sərf etmədən, hər iki marşrutlayıcıda taymer əsaslı skriptə bu marşrutu silən bir sətir əlavə etdim:
route del 192.168.30.2
Ümumiləşdirərək
Tamamilə rədd OpenVPN Hələ buna nail ola bilməmişəm, çünki bəzən noutbukdan və ya telefondan yeni şəbəkəyə qoşulmalı oluram və onlarda gretap cihazı qurmaq ümumiyyətlə mümkün deyil. Lakin buna baxmayaraq, mənzillər arasında məlumat ötürmə sürətində üstünlük qazandım və məsələn, VNC-dən istifadə etmək artıq problemsizdir. Ping bir qədər azalıb, lakin daha sabitləşib:
Istifadə edərkən OpenVPN:
[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms
Istifadə edərkən WireGuard:
[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms
Əsasən təxminən 61.5ms olan VPS-ə yüksək ping-dən təsirlənir
Lakin sürət xeyli artıb. Beləliklə, router-server olan mənzildə internet bağlantısı sürətim 30 Mbps, digər mənzillərdə isə 5 Mbps-dir. Üstəlik, istifadə zamanı OpenVPN iperf göstəricilərinə görə şəbəkələr arasında 3,8 Mbps-dən çox məlumat ötürmə sürətinə nail ola bilmədim, halbuki WireGuard onu eyni 5 Mbit/saniyədə "pompaladı".
Konfiqurasiya WireGuard VPS-də[Interface]
Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>
[Həmyaşıd]
Açıq Açar = <VPN_1_MS_PUBLIC_KEY>
İcazə verilən IP-lər = 192.168.30.2/32
[Həmyaşıd]
Açıq Açar = <VPN_2_MK2_PUBLIC_KEY>
İcazə verilən IP-lər = 192.168.30.3/32
[Həmyaşıd]
Açıq Açar = <VPN_2_MK3_PUBLIC_KEY>
İcazə verilən IP-lər = 192.168.30.4/32
Konfiqurasiya WireGuard MS-də (/etc/config/network faylına əlavə olunur)
#VPN первого уровня - клиент
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.2/24'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
option endpoint_port '51820'
option route_allowed_ips '1'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_АДРЕС_VPS'
#VPN второго уровня - сервер
config interface 'wg1'
option proto 'wireguard'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
option listen_port '51821'
list addresses '192.168.31.1/24'
option auto '1'
option mtu '7500'
config wireguard_wg1
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
list allowed_ips '192.168.31.2'
config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
list allowed_ips '192.168.31.3'
Konfiqurasiya WireGuard MK2-də (/etc/config/network-ə əlavə edildi)
#VPN первого уровня - клиент
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.3/24'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
option endpoint_port '51820'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_АДРЕС_VPS'
#VPN второго уровня - клиент
config interface 'wg1'
option proto 'wireguard'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
list addresses '192.168.31.2/24'
option auto '1'
option listen_port '51821'
option mtu '7500'
config wireguard_wg1
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
option endpoint_host '192.168.30.2'
option endpoint_port '51821'
option persistent_keepalive '25'
list allowed_ips '192.168.31.0/24'
Konfiqurasiya WireGuard MK3-də (/etc/config/network-ə əlavə edildi)
#VPN первого уровня - клиент
config interface 'wg0'
option proto 'wireguard'
list addresses '192.168.30.4/24'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
option auto '1'
option mtu '8000'
config wireguard_wg0
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
option endpoint_port '51820'
option persistent_keepalive '25'
list allowed_ips '192.168.30.0/24'
option endpoint_host 'IP_АДРЕС_VPS'
#VPN второго уровня - клиент
config interface 'wg1'
option proto 'wireguard'
option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
list addresses '192.168.31.3/24'
option auto '1'
option listen_port '51821'
option mtu '7500'
config wireguard_wg1
option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
option endpoint_host '192.168.30.2'
option endpoint_port '51821'
option persistent_keepalive '25'
list allowed_ips '192.168.31.0/24'
İkinci səviyyəli VPN üçün təsvir edilən konfiqurasiyalarda, müştərilərə göstərirəm WireGuard 51821 portu. Bu, lazım olmamalıdır, çünki klient istənilən pulsuz, imtiyazsız portdan əlaqə quracaq, amma mən bunu bu şəkildə etdim ki, 51821 portuna daxil olan UDP əlaqələri istisna olmaqla, bütün marşrutlaşdırıcıların wg0 interfeyslərindəki bütün daxil olan əlaqələri rədd edə bilim.
Ümid edirəm ki, məqalə kimsə üçün faydalı olacaq.
PS Həmçinin, şəbəkəmdə yeni cihaz görünəndə WirePusher proqramında telefonuma PUSH bildirişi göndərən skriptimi paylaşmaq istəyirəm. Budur skriptə keçid: .
UPDATE: Konfiqurasiya OpenVPN- serverlər və müştərilər
OpenVPN-server
client-to-client
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key
dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzoOpenVPN-müştəri
client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind
ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem
comp-lzo
persist-tun
persist-key
verb 3 Sertifikatlar yaratmaq üçün easy-rsa istifadə etdim.
Mənbə: www.habr.com
