Усім прывітанне, нядаўна прачытаў пра тое, як можна паскорыць OpenVPN на роўтары, перанёсшы шыфраванне на асобную жалязяку, якая прыпайваецца ўнутры самога роўтара. У мяне аналагічны з аўтарам выпадак – TP-Link WDR3500 з 128 мегабайтамі аператыўкі і бедным працэсарам, які спрэс не спраўляецца з шыфраваннем тунэляў. Аднак, лезці ў роўтэр з паяльнікам мне катэгарычна не хацелася. Пад катам мой досвед вынасу OpenVPN на асобную жалязяку з рэзерваваннем на роўтары на выпадак аварыі.
Задача
Ёсць роўтар TP-Link WDR3500 і Orange Pi Zero H2. Жадаем, каб шыфраваннем тунэляў у штатным рэжыме займаўся Orange Pi, пры гэтым калі з ім нешта здарыцца, апрацоўка VPN вернецца зваротна на роўтар. Усе налады фаервала на роўтары павінны працаваць як раней. І наогул у цэлым даданне дадатковай жалязякі павінна мінуць для ўсіх празрыста і неўзаметку. OpenVPN працуе па TCP, адаптар TAP у рэжыме маста (server-bridge).
рашэнне
Замест падлучэння па USB я вырашыў выдаткаваць адзін порт роўтара і завесці па ім на Orange Pi усе падсеткі, у якіх ёсць VPN брыдж. Атрымліваецца, што жалязяка будзе фізічна вісець у тых жа сетках, што і VPN сервера на роўтары. Пасля гэтага паднімаем роўна такія ж серверы на Orange Pi, а на роўтары наладжваем які-небудзь проксі каб ён аддаваў усе ўваходныя падлучэнні на вонкавы сервер, а калі Orange Pi памёр або недаступны - тады на ўнутраны fallback сервер. Я ўзяў HAProxy.
Атрымліваецца так:
- Прыходзіць кліент
- Калі вонкавы сервер недаступны - па-ранейшаму падлучэнне ідзе на ўнутраны сервер
- Калі даступны - кліента прымае Orange Pi
- VPN на Orange Pi дэшыфруе пакеты і выплёўвае іх назад у роўтэр
- Роўтар маршрутызуе іх куды-небудзь
Прыклад рэалізацыі
Такім чынам, няхай у нас ёсць на роўтары дзве сеткі - main(1) і guest(2), для кожнай з іх ёсць OpenVPN сервер для падлучэння звонку.
Канфігурацыя сеткі
Нам трэба пракінуць абедзве сеткі праз адзін порт, таму ствараем 2 VLAN'a.
На роўтары ў падзеле Network/Switch ствараем VLAN'ы (напрыклад 1 і 2) і ўключаем іх у tagged рэжыме на патрэбным порце, дадаем ізноў створаныя eth0.1 і eth0.2 да адпаведных сетак (напрыклад, дадаем у brigde).
На Orange Pi ствараем два VLAN інтэрфейсы (у мяне Archlinux ARM + netctl):
/etc/netctl/vlan-main
Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no
/etc/netctl/vlan-guest
Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no
І адразу ствараем два брыджы для іх:
/etc/netctl/br-main
Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp
/etc/netctl/br-guest
Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp
Уключаем аўтастарт на ўсе 4 профіля (netctl enable). Цяпер пасля перазагрузкі Orange Pi будзе вісець у двух патрабаваных сетках. Адрасы інтэрфейсаў на Orange Pi наладжваем у Static Leases на роўтары.
IP адр паказаць
4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
inet6 fe80::42:f0ff:fef8:23c8/64 scope link
valid_lft forever preferred_lft forever
5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
inet6 fe80::42:f0ff:fef8:23c8/64 scope link
valid_lft forever preferred_lft forever
6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
valid_lft 29379sec preferred_lft 21439sec
inet6 fe80::50c7:fff:fe89:716e/64 scope link
valid_lft forever preferred_lft forever
7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
valid_lft forever preferred_lft forever
inet6 fe80::ecea:19ff:fe31:3432/64 scope link
valid_lft forever preferred_lft forever
Настройка VPN
Далей які капіюецца з роўтара налады для OpenVPN і ключы. Налады звычайна можна ўзяць у /tmp/etc/openvpn*.conf
Па змаўчанні openvpn, запушчаны ў рэжыме TAP і server-bridge, трымае свой інтэрфейс неактыўным. Каб усё зарабіла, трэба дадаць скрыпт, які запускаецца пры актывацыі злучэння.
/etc/openvpn/main.conf
dev vpn-main
dev-type tap
client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3
setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh
/etc/openvpn/vpn-up.sh
#!/bin/sh
ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}
У выніку як толькі здарыцца падлучэнне, інтэрфейс vpn-main будзе дададзены ў br-main. Для сеткі guest – аналагічна з дакладнасцю да імя інтэрфейсу і адрасы ў server-bridge.
Маршрутызацыя запытаў звонку і праксіраванне
На гэтым этапе Orange Pi ужо ўмее прымаць падлучэнні і пускаць кліентаў у патрэбныя сеткі. Засталося наладзіць праксіраванне ўваходных падлучэнняў на роўтары.
Пераносім роўтэрныя VPN сервера на іншыя парты, ставім на роўтар HAProxy і наладжваем:
/etc/haproxy.cfg
global
maxconn 256
uid 0
gid 0
daemon
defaults
retries 1
contimeout 1000
option splice-auto
listen guest_vpn
bind :444
mode tcp
server 0-orange 192.168.2.3:444 check
server 1-local 127.0.0.1:4444 check backup
listen main_vpn
bind :443
mode tcp
server 0-orange 192.168.1.3:443 check
server 1-local 127.0.0.1:4443 check backup
Атрымліваем асалоду
Калі ўсё прайшло па плане – кліенты сыдуць на Orange Pi і працэсар роўтара больш не будзе грэцца, а хуткасць VPN адчувальна ўзрасце. Пры гэтым застануцца актуальнымі ўсе сеткавыя правілы, якія прапісаны на роўтары. У выпадку аварыі на Orange Pi ён адваліцца і HAProxy загорне кліентаў на лакальныя серверы.
Дзякуй за ўвагу, пажаданні і выпраўленні вітаюцца.
Крыніца: habr.com