একটি L2 নেটওয়ার্কে নেটওয়ার্ক একত্রিত করতে OpenVPN থেকে WireGuard-এ স্থানান্তর

আমি তিনটি ভৌগলিকভাবে দূরবর্তী অ্যাপার্টমেন্টে নেটওয়ার্কগুলিকে একত্রিত করার আমার অভিজ্ঞতা শেয়ার করতে চাই, যার প্রত্যেকটি একটি সাধারণ নেটওয়ার্কে গেটওয়ে হিসাবে OpenWRT সহ রাউটার ব্যবহার করে৷ সাবনেট রাউটিং সহ L3 এবং ব্রিজিংয়ের সাথে L2 এর মধ্যে নেটওয়ার্কগুলিকে একত্রিত করার জন্য একটি পদ্ধতি বেছে নেওয়ার সময়, যখন সমস্ত নেটওয়ার্ক নোড একই সাবনেটে থাকবে, তখন দ্বিতীয় পদ্ধতিটিকে অগ্রাধিকার দেওয়া হয়েছিল, যা কনফিগার করা আরও কঠিন, তবে আরও সুযোগ প্রদান করে, যেহেতু স্বচ্ছ তৈরি নেটওয়ার্ক ওয়েক-অন-ল্যান এবং ডিএলএনএ-তে প্রযুক্তি ব্যবহারের পরিকল্পনা করা হয়েছিল।

পার্ট 1: পটভূমি

ওপেনভিপিএন প্রাথমিকভাবে এই কাজটি বাস্তবায়নের জন্য প্রোটোকল হিসাবে বেছে নেওয়া হয়েছিল, যেহেতু, প্রথমত, এটি একটি ট্যাপ ডিভাইস তৈরি করতে পারে যা কোনও সমস্যা ছাড়াই সেতুতে যোগ করা যেতে পারে এবং দ্বিতীয়ত, ওপেনভিপিএন টিসিপি প্রোটোকলের মাধ্যমে অপারেশন সমর্থন করে, যা গুরুত্বপূর্ণ ছিল, কারণ অ্যাপার্টমেন্টগুলির কোনওটিরই একটি ডেডিকেটেড IP ঠিকানা ছিল না, এবং আমি STUN ব্যবহার করতে অক্ষম ছিলাম, কারণ কিছু কারণে আমার ISP তাদের নেটওয়ার্ক থেকে ইনকামিং UDP সংযোগগুলি ব্লক করে, যখন TCP প্রোটোকল আমাকে SSH ব্যবহার করে ভাড়া করা VPS-এ VPN সার্ভার পোর্ট ফরোয়ার্ড করার অনুমতি দেয়৷ হ্যাঁ, এই পদ্ধতিটি একটি বড় লোড দেয়, যেহেতু ডেটাটি দুবার এনক্রিপ্ট করা হয়েছে, তবে আমি আমার ব্যক্তিগত নেটওয়ার্কে ভিপিএস চালু করতে চাইনি, যেহেতু তৃতীয় পক্ষের এটির উপর নিয়ন্ত্রণ পাওয়ার ঝুঁকি ছিল, তাই, এই জাতীয় হোম নেটওয়ার্কে ডিভাইসটি অত্যন্ত অবাঞ্ছিত ছিল এবং এটি একটি বড় ওভারহেড সহ নিরাপত্তার জন্য অর্থ প্রদানের সিদ্ধান্ত নেওয়া হয়েছিল।

যে রাউটারে সার্ভার স্থাপনের পরিকল্পনা করা হয়েছিল সেই রাউটারে পোর্টটি ফরোয়ার্ড করতে, sshtunnel প্রোগ্রামটি ব্যবহার করা হয়েছিল। আমি এর কনফিগারেশনের জটিলতাগুলি বর্ণনা করব না - এটি বেশ সহজে করা হয়, আমি শুধু লক্ষ্য করি যে এর কাজটি ছিল রাউটার থেকে VPS এ TCP পোর্ট 1194 ফরোয়ার্ড করা। এরপরে, OpenVPN সার্ভারটি tap0 ডিভাইসে কনফিগার করা হয়েছিল, যা br-lan ব্রিজের সাথে সংযুক্ত ছিল। ল্যাপটপ থেকে সদ্য তৈরি সার্ভারের সাথে সংযোগ পরীক্ষা করার পরে, এটি স্পষ্ট হয়ে গেল যে পোর্ট ফরোয়ার্ডিংয়ের ধারণাটি নিজেকেই ন্যায্যতা দিয়েছে এবং আমার ল্যাপটপটি রাউটারের নেটওয়ার্কের সদস্য হয়ে উঠেছে, যদিও এটি শারীরিকভাবে এতে ছিল না।

বিষয়টি ছোট থেকে গেল: বিভিন্ন অ্যাপার্টমেন্টে IP ঠিকানাগুলি বিতরণ করা প্রয়োজন যাতে তারা বিরোধ না করে এবং রাউটারগুলিকে OpenVPN ক্লায়েন্ট হিসাবে কনফিগার না করে।
নিম্নলিখিত রাউটার আইপি ঠিকানা এবং DHCP সার্ভার রেঞ্জ নির্বাচন করা হয়েছে:

• 192.168.10.1 একটি পরিসীমা সহ 192.168.10.2 - 192.168.10.80 সার্ভারের জন্য
• 192.168.10.100 একটি পরিসীমা সহ 192.168.10.101 - 192.168.10.149 অ্যাপার্টমেন্ট নং 2 এ একটি রাউটারের জন্য
• 192.168.10.150 একটি পরিসীমা সহ 192.168.10.151 - 192.168.10.199 অ্যাপার্টমেন্ট নং 3 এ একটি রাউটারের জন্য

এটির কনফিগারেশনে লাইন যোগ করে OpenVPN সার্ভারের ক্লায়েন্ট রাউটারগুলিতে ঠিক এই ঠিকানাগুলি বরাদ্দ করাও প্রয়োজনীয় ছিল:

ifconfig-pool-persist /etc/openvpn/ipp.txt 0

এবং নিম্নলিখিত লাইনগুলিকে /etc/openvpn/ipp.txt ফাইলে যোগ করুন:

flat1_id 192.168.10.100
flat2_id 192.168.10.150

যেখানে ফ্ল্যাট1_আইডি এবং ফ্ল্যাট2_আইডি ওপেনভিপিএন-এর সাথে সংযোগ করার জন্য শংসাপত্র তৈরি করার সময় ডিভাইসের নাম উল্লেখ করা হয়

এরপরে, ওপেনভিপিএন ক্লায়েন্ট রাউটারগুলিতে কনফিগার করা হয়েছিল, উভয়ের ট্যাপ0 ডিভাইসগুলিকে br-lan ব্রিজে যুক্ত করা হয়েছিল। এই পর্যায়ে, সবকিছু ঠিকঠাক বলে মনে হচ্ছে, যেহেতু তিনটি নেটওয়ার্ক একে অপরকে দেখে এবং সামগ্রিকভাবে কাজ করে। যাইহোক, একটি খুব আনন্দদায়ক বিশদটি পরিণত হয়নি: কখনও কখনও ডিভাইসগুলি তাদের রাউটার থেকে একটি আইপি ঠিকানা পেতে পারে না, সমস্ত পরবর্তী পরিণতি সহ। কিছু কারণে, অ্যাপার্টমেন্টগুলির মধ্যে একটির রাউটার সময়মতো DHCPDISCOVER-এ সাড়া দেওয়ার সময় ছিল না এবং ডিভাইসটি ভুল ঠিকানা পেয়েছে। আমি বুঝতে পেরেছিলাম যে প্রতিটি রাউটারে আমাকে ট্যাপ0 এ এই জাতীয় অনুরোধগুলি ফিল্টার করতে হবে, তবে এটি দেখা গেছে, iptables একটি ডিভাইসের সাথে কাজ করতে পারে না যদি এটি একটি সেতুর অংশ হয় এবং ebtables আমার উদ্ধারে আসা উচিত। আমার দুঃখের জন্য, এটি আমার ফার্মওয়্যারে ছিল না এবং আমাকে প্রতিটি ডিভাইসের জন্য চিত্রগুলি পুনর্নির্মাণ করতে হয়েছিল। এটি করে এবং প্রতিটি রাউটারের /etc/rc.local এ এই লাইনগুলি যোগ করে, সমস্যাটি সমাধান করা হয়েছিল:

ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP

এই কনফিগারেশন তিন বছর ধরে চলেছিল।

পার্ট 2: ওয়্যারগার্ডের পরিচয়

সম্প্রতি, ইন্টারনেট ক্রমবর্ধমান ওয়্যারগার্ড সম্পর্কে কথা বলছে, এর কনফিগারেশনের সরলতা, উচ্চ স্থানান্তর গতি, তুলনামূলক নিরাপত্তা সহ কম পিং এর প্রশংসা করে। এটি সম্পর্কে আরও তথ্যের জন্য অনুসন্ধান করা এটি স্পষ্ট করে দিয়েছে যে ব্রিজ সদস্য হিসাবে কাজ করা বা TCP প্রোটোকলের উপর কাজ করা এটি দ্বারা সমর্থিত নয়, যা আমাকে মনে করেছে যে এখনও আমার জন্য OpenVPN এর কোন বিকল্প নেই। তাই আমি ওয়্যারগার্ডকে জানা বন্ধ করে দিয়েছি।

কিছু দিন আগে, আইটি-এর সাথে সম্পর্কিত সংস্থানগুলির মাধ্যমে সংবাদটি ছড়িয়ে পড়ে যে ওয়্যারগার্ড অবশেষে 5.6 সংস্করণ থেকে শুরু করে লিনাক্স কার্নেলে অন্তর্ভুক্ত করা হবে। সংবাদ নিবন্ধ, বরাবরের মতো, ওয়্যারগার্ডের প্রশংসা করেছে। আমি আবার ভাল পুরানো OpenVPN প্রতিস্থাপন করার উপায় অনুসন্ধানে নিমজ্জিত. এবার আমি ছুটে গেলাম এই নিবন্ধটি. এটি GRE ব্যবহার করে L3 এর উপর একটি ইথারনেট টানেল তৈরি করার কথা বলেছে। এই নিবন্ধটি আমাকে আশা দিয়েছে। UDP প্রোটোকলের সাথে কী করতে হবে তা অস্পষ্ট রয়ে গেছে। অনুসন্ধান আমাকে একটি UDP পোর্ট ফরোয়ার্ড করার জন্য একটি SSH টানেলের সাথে একত্রে socat ব্যবহার সম্পর্কে নিবন্ধে নিয়ে গিয়েছিল, তবে, তারা উল্লেখ করেছে যে এই পদ্ধতিটি শুধুমাত্র একক সংযোগ মোডে কাজ করে, যার মানে একাধিক VPN ক্লায়েন্ট অসম্ভব হবে। আমি একটি ভিপিএস-এ একটি ভিপিএন সার্ভার সেট আপ করার এবং ক্লায়েন্টদের জন্য জিআরই কনফিগার করার ধারণা নিয়ে এসেছি, কিন্তু যেমনটি দেখা গেছে, জিআরই এনক্রিপশন সমর্থন করে না, যার ফলে তৃতীয় পক্ষ সার্ভারে অ্যাক্সেস লাভ করলে, আমার নেটওয়ার্কগুলির মধ্যে সমস্ত ট্র্যাফিক তাদের হাতে রয়েছে যা আমাকে মোটেও উপযুক্ত করেনি।

আবার, নিম্নলিখিত স্কিম অনুযায়ী VPN এর উপর VPN ব্যবহার করে অপ্রয়োজনীয় এনক্রিপশনের পক্ষে সিদ্ধান্ত নেওয়া হয়েছিল:

লেয়ার XNUMX VPN:
ভিপিএস এটা হয় সার্ভার অভ্যন্তরীণ ঠিকানা 192.168.30.1 সহ
এমসি এটা হয় ক্লায়েন্ট ভিপিএস অভ্যন্তরীণ ঠিকানা সহ 192.168.30.2
MK2 এটা হয় ক্লায়েন্ট ভিপিএস অভ্যন্তরীণ ঠিকানা সহ 192.168.30.3
MK3 এটা হয় ক্লায়েন্ট ভিপিএস অভ্যন্তরীণ ঠিকানা সহ 192.168.30.4

লেয়ার XNUMX VPN:
এমসি এটা হয় সার্ভার বাহ্যিক ঠিকানা 192.168.30.2 এবং অভ্যন্তরীণ 192.168.31.1 সহ
MK2 এটা হয় ক্লায়েন্ট এমসি 192.168.30.2 ঠিকানা সহ এবং 192.168.31.2 এর একটি অভ্যন্তরীণ আইপি রয়েছে
MK3 এটা হয় ক্লায়েন্ট এমসি 192.168.30.2 ঠিকানা সহ এবং 192.168.31.3 এর একটি অভ্যন্তরীণ আইপি রয়েছে

* এমসি - অ্যাপার্টমেন্ট 1-এ রাউটার-সার্ভার, MK2 - অ্যাপার্টমেন্ট 2 এ রাউটার, MK3 - অ্যাপার্টমেন্ট 3 এ রাউটার
* ডিভাইস কনফিগারেশন নিবন্ধের শেষে স্পয়লারে প্রকাশিত হয়।

এবং তাই, নেটওয়ার্ক 192.168.31.0/24 এর নোডগুলির মধ্যে পিং করা হয়, এটি GRE টানেল সেট আপ করার জন্য এগিয়ে যাওয়ার সময়। তার আগে, রাউটারগুলিতে অ্যাক্সেস না হারাতে, ভিপিএস-এ পোর্ট 22 ফরোয়ার্ড করার জন্য এসএসএইচ টানেল স্থাপন করা মূল্যবান, যাতে, উদাহরণস্বরূপ, অ্যাপার্টমেন্ট 10022 থেকে একটি রাউটার ভিপিএসের 2 পোর্টে উপলব্ধ হবে এবং একটি অ্যাপার্টমেন্ট 11122-এর রাউটার VPS-এর 3 পোর্টে পাওয়া যাবে। অ্যাপার্টমেন্ট XNUMX থেকে রাউটার। একই sshtunnel দিয়ে ফরওয়ার্ডিং কনফিগার করা ভাল, কারণ এটি পড়ে গেলে টানেলটি পুনরুদ্ধার করবে।

টানেলটি কনফিগার করা হয়েছে, আপনি ফরোয়ার্ড করা পোর্টের মাধ্যমে SSH এর সাথে সংযোগ করতে পারেন:

ssh root@МОЙ_VPS -p 10022

পরবর্তী, OpenVPN অক্ষম করুন:

/etc/init.d/openvpn stop

এখন অ্যাপার্টমেন্ট 2 থেকে রাউটারে একটি GRE টানেল সেট আপ করা যাক:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up

এবং সেতুতে তৈরি ইন্টারফেস যোগ করুন:

brctl addif br-lan grelan0

আসুন সার্ভার রাউটারে একটি অনুরূপ পদ্ধতি সঞ্চালন করা যাক:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up

এবং, এছাড়াও, সেতুতে তৈরি ইন্টারফেস যোগ করুন:

brctl addif br-lan grelan0

এই মুহূর্ত থেকে শুরু করে, পিংগুলি সফলভাবে নতুন নেটওয়ার্কে যেতে শুরু করে এবং আমি, সন্তুষ্টির সাথে, কফি পান করতে যাই। তারপরে, তারের অপর প্রান্তের নেটওয়ার্কটি কীভাবে কাজ করে তা দেখতে, আমি অ্যাপার্টমেন্ট 2-এর একটি কম্পিউটারে SSH করার চেষ্টা করি, কিন্তু ssh ক্লায়েন্ট আমাকে পাসওয়ার্ডের জন্য অনুরোধ না করেই জমে যায়। আমি পোর্ট 22-এ টেলনেটের মাধ্যমে এই কম্পিউটারের সাথে সংযোগ করার চেষ্টা করি এবং একটি লাইন দেখতে পাচ্ছি যেখান থেকে আপনি বুঝতে পারবেন যে সংযোগটি প্রতিষ্ঠিত হচ্ছে, SSH সার্ভারটি সাড়া দিচ্ছে, কিন্তু কিছু কারণে এটি আমাকে প্রবেশ করার প্রস্তাব দেয় না।

$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1

আমি VNC এর মাধ্যমে এটির সাথে সংযোগ করার চেষ্টা করছি এবং আমি একটি কালো পর্দা দেখতে পাচ্ছি। আমি নিজেকে বিশ্বাস করি যে বিষয়টি দূরবর্তী কম্পিউটারে রয়েছে, কারণ আমি অভ্যন্তরীণ ঠিকানা ব্যবহার করে এই অ্যাপার্টমেন্ট থেকে রাউটারের সাথে সহজেই সংযোগ করতে পারি। যাইহোক, আমি রাউটারের মাধ্যমে এই কম্পিউটারে এসএসএইচ করার সিদ্ধান্ত নিয়েছি এবং আমি অবাক হয়েছি যে সংযোগটি সফল হয়েছে এবং দূরবর্তী কম্পিউটারটি ভাল কাজ করে কিন্তু আমার কম্পিউটারের সাথে সংযোগ করতে ব্যর্থ হয়।

আমি ব্রিজের বাইরে grelan0 ডিভাইসটি নিয়ে আসি এবং অ্যাপার্টমেন্ট 2-এর রাউটারে OpenVPN চালু করি এবং নিশ্চিত করি যে নেটওয়ার্কটি আবার সঠিকভাবে কাজ করছে এবং সংযোগগুলি বন্ধ হচ্ছে না। অনুসন্ধান করতে গিয়ে আমি এমন ফোরামে আসি যেখানে লোকেরা একই সমস্যার বিষয়ে অভিযোগ করে, যেখানে তাদের MTU বাড়াতে পরামর্শ দেওয়া হয়। যত তাড়াতাড়ি বলা হয়ে গেল। যাইহোক, গ্রেটপ ডিভাইসের জন্য এমটিইউ 7000 এর যথেষ্ট বড় মান সেট না করা পর্যন্ত, হয় TCP সংযোগ বাদ দেওয়া হয়েছে বা ধীর গতিতে ট্রান্সমিশন পরিলক্ষিত হয়েছে। গ্রেটাপের জন্য উচ্চ MTU-এর কারণে, প্রথম এবং দ্বিতীয় স্তরের ওয়্যারগার্ড সংযোগের জন্য MTUগুলি যথাক্রমে 8000 এবং 7500-এ সেট করা হয়েছিল।

আমি অ্যাপার্টমেন্ট 3 থেকে রাউটারে একই রকম সেটআপ করেছি, একমাত্র পার্থক্য হল যে গ্রেলান 1 নামে একটি দ্বিতীয় গ্রেটপ ইন্টারফেস সার্ভার রাউটারে যুক্ত করা হয়েছিল, যা br-lan ব্রিজেও যুক্ত হয়েছিল।

সবকিছু কাজ করছে। এখন আপনি gretap সমাবেশ অটোলোডে রাখতে পারেন। এই জন্য:

অ্যাপার্টমেন্ট 2-এর রাউটারে /etc/rc.local-এ এই লাইনগুলি স্থাপন করা হয়েছে:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

অ্যাপার্টমেন্ট 3-এর রাউটারে এটিকে /etc/rc.local এ যোগ করা হয়েছে:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

এবং সার্ভার রাউটারে:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1

ক্লায়েন্ট রাউটারগুলি পুনরায় বুট করার পরে, আমি খুঁজে পেয়েছি যে কিছু কারণে তারা সার্ভারের সাথে সংযোগ করেনি। তাদের SSH-এর সাথে সংযোগ করা (সৌভাগ্যবশত, আমি এর জন্য আগে sshtunnel কনফিগার করেছিলাম), এটি আবিষ্কৃত হয়েছিল যে WireGuard কিছু কারণে শেষ পয়েন্টের জন্য একটি রুট তৈরি করে, যদিও ভুল ছিল। সুতরাং, 192.168.30.2 এর জন্য, রুট টেবিলটি পিপিপি-ওয়ান ইন্টারফেসের মাধ্যমে, অর্থাৎ ইন্টারনেটের মাধ্যমে রুট টেবিলে নির্দিষ্ট করা হয়েছিল, যদিও এটির রুটটি wg0 ইন্টারফেসের মাধ্যমে নির্দেশিত হওয়া উচিত ছিল। এই রুট মুছে ফেলার পরে, সংযোগ পুনরুদ্ধার করা হয়েছে. ওয়্যারগার্ডকে কীভাবে এই রুটগুলি তৈরি না করতে বাধ্য করা যায় সে সম্পর্কে আমি কোথাও নির্দেশাবলী খুঁজে পাইনি। তাছাড়া, আমি এটাও বুঝতে পারিনি যে এটি OpenWRT এর একটি বৈশিষ্ট্য, নাকি WireGuard নিজেই। দীর্ঘ সময়ের জন্য এই সমস্যাটি মোকাবেলা না করে, আমি কেবল একটি টাইমার দ্বারা লুপ করা একটি স্ক্রিপ্টে উভয় রাউটারে যোগ করেছি, একটি লাইন যা এই রুটটি মুছে দিয়েছে:

route del 192.168.30.2

বুদ্ধিমান

আমি এখনও ওপেনভিপিএন-এর সম্পূর্ণ প্রত্যাখ্যান করতে পারিনি, যেহেতু আমাকে কখনও কখনও ল্যাপটপ বা ফোন থেকে একটি নতুন নেটওয়ার্কের সাথে সংযোগ করতে হয় এবং সেগুলিতে একটি গ্রেটপ ডিভাইস সেট আপ করা সাধারণত অসম্ভব, তবে তা সত্ত্বেও, আমি ডেটা স্থানান্তরের একটি সুবিধা পেয়েছি। অ্যাপার্টমেন্টগুলির মধ্যে গতি এবং, উদাহরণস্বরূপ, VNC ব্যবহার করা আর অসুবিধাজনক নয়। পিং সামান্য কমেছে, কিন্তু আরো স্থিতিশীল হয়ে উঠেছে:

OpenVPN ব্যবহার করার সময়:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms

--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms

ওয়্যারগার্ড ব্যবহার করার সময়:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms

এটি বেশিরভাগই VPS থেকে উচ্চ পিং দ্বারা প্রভাবিত হয় যা প্রায় 61.5ms

তবে, গতি উল্লেখযোগ্যভাবে বৃদ্ধি পেয়েছে। সুতরাং, একটি রাউটার-সার্ভার সহ একটি অ্যাপার্টমেন্টে, আমার ইন্টারনেট সংযোগের গতি 30 এমবিপিএস, এবং অন্যান্য অ্যাপার্টমেন্টে, 5 এমবিপিএস। একই সময়ে, OpenVPN ব্যবহার করার সময়, আমি iperf অনুযায়ী 3,8 Mbps-এর বেশি নেটওয়ার্কগুলির মধ্যে ডেটা স্থানান্তর হার অর্জন করতে পারিনি, যখন WireGuard এটিকে একই 5 Mbps পর্যন্ত "পাম্প" করেছিল।

VPS-এ ওয়্যারগার্ড কনফিগারেশন[Interface] Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_1_МС>
AllowedIPs = 192.168.30.2/32

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2>
AllowedIPs = 192.168.30.3/32

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3>
AllowedIPs = 192.168.30.4/32

MS-এ ওয়্যারগার্ড কনফিগারেশন (/etc/config/network-এ যোগ করা হয়েছে)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.2/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - сервер
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option listen_port '51821'
        list addresses '192.168.31.1/24'
        option auto '1'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list allowed_ips '192.168.31.2'

config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3

        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list allowed_ips '192.168.31.3'

MK2-এ ওয়্যারগার্ড কনফিগারেশন (/etc/config/network-এ যোগ করা হয়েছে)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.3/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list addresses '192.168.31.2/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

MK3-এ ওয়্যারগার্ড কনফিগারেশন (/etc/config/network-এ যোগ করা হয়েছে)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.4/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list addresses '192.168.31.3/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

দ্বিতীয় স্তরের VPN-এর জন্য বর্ণিত কনফিগারেশনে, আমি ওয়্যারগার্ড ক্লায়েন্টদের জন্য পোর্ট 51821 নির্দিষ্ট করি৷ তাত্ত্বিকভাবে, এটি প্রয়োজনীয় নয়, যেহেতু ক্লায়েন্ট কোনও বিনামূল্যের অ-সুবিধাপ্রাপ্ত পোর্ট থেকে একটি সংযোগ স্থাপন করবে, তবে আমি এটি তৈরি করেছি যাতে সমস্ত আগত সংযোগগুলি পোর্ট 0 এ ইনকামিং UDP সংযোগ ব্যতীত সমস্ত রাউটারের wg51821 ইন্টারফেসে অস্বীকার করা যেতে পারে।

আমি আশা করি নিবন্ধটি কারও কাজে লাগবে।

দ্রষ্টব্য এছাড়াও, আমি আমার স্ক্রিপ্ট শেয়ার করতে চাই যা আমার নেটওয়ার্কে একটি নতুন ডিভাইস উপস্থিত হলে WirePusher অ্যাপ্লিকেশনে আমার ফোনে একটি PUSH বিজ্ঞপ্তি পাঠায়। এখানে স্ক্রিপ্টের একটি লিঙ্ক: github.com/r0ck3r/device_discover.

আপডেট: OpenVPN সার্ভার এবং ক্লায়েন্ট কনফিগারেশন

OpenVPN সার্ভার

client-to-client

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key

dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo

OpenVPN ক্লায়েন্ট

client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind

ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem

comp-lzo
persist-tun
persist-key
verb 3

আমি শংসাপত্র তৈরি করতে সহজ-আরএসএ ব্যবহার করেছি।

উত্স: www.habr.com