Здравейте на всички, наскоро прочетох за това как можете да ускорите OpenVPN на рутер чрез прехвърляне на криптиране към отделен хардуер, който е запоен вътре в самия рутер. Имам подобен случай на автора - TP-Link WDR3500 със 128 мегабайта RAM и слаб процесор, който напълно не може да се справи с тунелно криптиране. Аз обаче абсолютно не исках да влизам в рутера с поялник. По-долу е моят опит с преместването на OpenVPN на отделен хардуер с резервно копие на рутера в случай на авария.
Задача
Има рутер TP-Link WDR3500 и Orange Pi Zero H2. Искаме Orange Pi да криптира тунелите както обикновено и ако нещо се случи с него, VPN обработката ще се върне обратно към рутера. Всички настройки на защитната стена на рутера трябва да работят както преди. И като цяло добавянето на допълнителен хардуер трябва да е прозрачно и незабележимо за всички. OpenVPN работи през TCP, TAP адаптерът е в мостов режим (сървър-мост).
Решение
Вместо да се свързвам чрез USB, реших да използвам един порт на рутера и да свържа всички подмрежи, които имат VPN мост към Orange Pi. Оказва се, че хардуерът физически ще виси в същите мрежи като VPN сървъра на рутера. След това инсталираме точно същите сървъри на Orange Pi и на рутера настройваме някакъв вид прокси, така че да изпраща всички входящи връзки към външния сървър и ако Orange Pi е мъртъв или недостъпен, тогава към вътрешен резервен сървър. Взех HAProxy.
Оказва се така:
- Пристига клиент
- Ако външният сървър е недостъпен, както преди, връзката преминава към вътрешния сървър
- Ако е наличен, клиентът се приема от Orange Pi
- VPN на Orange Pi декриптира пакети и ги изплюва обратно в рутера
- Рутера ги насочва някъде
Пример за изпълнение
И така, да кажем, че имаме две мрежи на рутера - main(1) и guest(2), за всяка от тях има OpenVPN сървър за външно свързване.
Мрежова конфигурация
Трябва да маршрутизираме и двете мрежи през един порт, така че създаваме 2 VLAN.
На рутера, в секцията Network/Switch, създайте VLAN (например 1 и 2) и ги активирайте в режим на етикети на желания порт, добавете новосъздадените eth0.1 и eth0.2 към съответните мрежи (например, добавете ги към bridgede).
На Orange Pi създаваме два VLAN интерфейса (имам Archlinux ARM + netctl):
/etc/netctl/vlan-main
Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no
/etc/netctl/vlan-guest
Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no
И веднага създаваме два моста за тях:
/etc/netctl/br-main
Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp
/etc/netctl/br-guest
Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp
Активирайте автоматично стартиране за всичките 4 профила (netctl enable). Сега след рестартиране Orange Pi ще виси на двете необходими мрежи. Ние конфигурираме интерфейсните адреси на Orange Pi в Static Leases на рутера.
ip addr show
4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
inet6 fe80::42:f0ff:fef8:23c8/64 scope link
valid_lft forever preferred_lft forever
5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
inet6 fe80::42:f0ff:fef8:23c8/64 scope link
valid_lft forever preferred_lft forever
6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
valid_lft 29379sec preferred_lft 21439sec
inet6 fe80::50c7:fff:fe89:716e/64 scope link
valid_lft forever preferred_lft forever
7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
valid_lft forever preferred_lft forever
inet6 fe80::ecea:19ff:fe31:3432/64 scope link
valid_lft forever preferred_lft forever
Настройка на VPN
След това копираме настройките за OpenVPN и ключовете от рутера. Настройките обикновено могат да бъдат намерени в /tmp/etc/openvpn*.conf
По подразбиране openvpn работи в режим TAP и сървърният мост поддържа интерфейса си неактивен. За да работи всичко, трябва да добавите скрипт, който да се изпълнява, когато връзката е активирана.
/etc/openvpn/main.conf
dev vpn-main
dev-type tap
client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3
setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh
/etc/openvpn/vpn-up.sh
#!/bin/sh
ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}
В резултат на това, веднага щом се осъществи връзката, интерфейсът vpn-main ще бъде добавен към br-main. За мрежата за гости - подобно, до името и адреса на интерфейса в сървърния мост.
Външно маршрутизиране на заявки и проксииране
На тази стъпка Orange Pi вече може да приема връзки и да свързва клиенти към необходимите мрежи. Остава само да конфигурирате прокси на входящите връзки на рутера.
Прехвърляме VPN сървърите на рутера към други портове, инсталираме HAProxy на рутера и конфигурираме:
/etc/haproxy.cfg
global
maxconn 256
uid 0
gid 0
daemon
defaults
retries 1
contimeout 1000
option splice-auto
listen guest_vpn
bind :444
mode tcp
server 0-orange 192.168.2.3:444 check
server 1-local 127.0.0.1:4444 check backup
listen main_vpn
bind :443
mode tcp
server 0-orange 192.168.1.3:443 check
server 1-local 127.0.0.1:4443 check backup
Наслади се
Ако всичко върви по план, клиентите ще преминат към Orange Pi и процесорът на рутера вече няма да се нагрява, а скоростта на VPN ще се увеличи значително. В същото време всички мрежови правила, които са регистрирани на рутера, ще останат актуални. В случай на авария на Orange Pi, той ще падне и HAProxy ще прехвърли клиенти към локални сървъри.
Благодаря ви за вниманието, предложения и корекции са добре дошли.
Източник: www.habr.com