রূপান্তর OpenVPN উপর WireGuard নেটওয়ার্কগুলিকে একত্রিত করে একটি L2 নেটওয়ার্ক তৈরি করতে

আমি তিনটি ভৌগলিকভাবে দূরবর্তী অ্যাপার্টমেন্টে নেটওয়ার্কগুলিকে একত্রিত করার আমার অভিজ্ঞতা শেয়ার করতে চাই, যার প্রত্যেকটি একটি সাধারণ নেটওয়ার্কে গেটওয়ে হিসাবে OpenWRT সহ রাউটার ব্যবহার করে৷ সাবনেট রাউটিং সহ L3 এবং ব্রিজিংয়ের সাথে L2 এর মধ্যে নেটওয়ার্কগুলিকে একত্রিত করার জন্য একটি পদ্ধতি বেছে নেওয়ার সময়, যখন সমস্ত নেটওয়ার্ক নোড একই সাবনেটে থাকবে, তখন দ্বিতীয় পদ্ধতিটিকে অগ্রাধিকার দেওয়া হয়েছিল, যা কনফিগার করা আরও কঠিন, তবে আরও সুযোগ প্রদান করে, যেহেতু স্বচ্ছ তৈরি নেটওয়ার্ক ওয়েক-অন-ল্যান এবং ডিএলএনএ-তে প্রযুক্তি ব্যবহারের পরিকল্পনা করা হয়েছিল।

পার্ট 1: পটভূমি

এই কাজটি বাস্তবায়নের জন্য নির্বাচিত প্রোটোকলটি প্রাথমিকভাবে ছিল OpenVPNকারণ, প্রথমত, এটি এমন একটি ট্যাপ ডিভাইস তৈরি করতে পারে যা কোনো সমস্যা ছাড়াই ব্রিজে যুক্ত করা যায়, এবং দ্বিতীয়ত, OpenVPN এটি TCP সাপোর্ট করে, যা একটি গুরুত্বপূর্ণ বিষয় ছিল, কারণ কোনো অ্যাপার্টমেন্টেরই নিজস্ব আইপি অ্যাড্রেস ছিল না। আমি STUN ব্যবহার করতে পারিনি কারণ আমার আইএসপি কোনো এক কারণে তাদের নেটওয়ার্ক থেকে আসা UDP কানেকশন ব্লক করে দেয়। TCP আমাকে SSH ব্যবহার করে ভাড়া করা VPS-টিতে VPN সার্ভার পোর্ট ফরওয়ার্ড করার সুযোগ দিয়েছিল। যদিও এই পদ্ধতিতে ডেটা ডাবল-এনক্রিপ্টেড হওয়ার কারণে একটি উল্লেখযোগ্য ওভারহেড তৈরি হয়, আমি VPS-টিকে আমার প্রাইভেট নেটওয়ার্কে যুক্ত করতে চাইনি, কারণ এতে তৃতীয় পক্ষের নিয়ন্ত্রণ চলে যাওয়ার ঝুঁকি ছিল। তাই, আমার হোম নেটওয়ার্কে এমন একটি ডিভাইস রাখা অত্যন্ত অনাকাঙ্ক্ষিত ছিল, এবং সেই কারণে আমি নিরাপত্তার জন্য একটি বড় অঙ্কের অতিরিক্ত খরচ বহন করার সিদ্ধান্ত নিয়েছিলাম।

যে রাউটারে সার্ভারটি স্থাপন করার পরিকল্পনা ছিল, সেখানে পোর্ট ফরওয়ার্ড করার জন্য আমি sshtunnel প্রোগ্রামটি ব্যবহার করেছি। আমি এর কনফিগারেশনের বিস্তারিত বিবরণে যাব না—এটি বেশ সহজ। আমি শুধু উল্লেখ করব যে, এর উদ্দেশ্য ছিল রাউটার থেকে VPS-এ TCP পোর্ট 1194 ফরওয়ার্ড করা। এরপর, আমি সার্ভারটি কনফিগার করেছি। OpenVPN tap0 ডিভাইসটি br-lan ব্রিজের সাথে সংযুক্ত ছিল। আমার ল্যাপটপ থেকে নতুন তৈরি করা সার্ভারের সাথে সংযোগ পরীক্ষা করার পর এটা স্পষ্ট হয়ে গেল যে, পোর্ট ফরওয়ার্ডিংয়ের ধারণাটি কাজ করেছে এবং আমার ল্যাপটপটি রাউটারের নেটওয়ার্কের সদস্য হয়ে গেছে, যদিও এটি ভৌতিকভাবে এর অংশ ছিল না।

একমাত্র কাজ ছিল বিভিন্ন অ্যাপার্টমেন্টে আইপি অ্যাড্রেসগুলো এমনভাবে বন্টন করা যাতে সেগুলোর মধ্যে কোনো সংঘাত না হয় এবং রাউটারগুলো যথাযথভাবে কনফিগার করা। OpenVPN-ক্লায়েন্ট।
নিম্নলিখিত রাউটার আইপি ঠিকানা এবং DHCP সার্ভার রেঞ্জ নির্বাচন করা হয়েছে:

• 192.168.10.1 একটি পরিসীমা সহ 192.168.10.2 - 192.168.10.80 সার্ভারের জন্য
• 192.168.10.100 একটি পরিসীমা সহ 192.168.10.101 - 192.168.10.149 অ্যাপার্টমেন্ট নং 2 এ একটি রাউটারের জন্য
• 192.168.10.150 একটি পরিসীমা সহ 192.168.10.151 - 192.168.10.199 অ্যাপার্টমেন্ট নং 3 এ একটি রাউটারের জন্য

ক্লায়েন্ট রাউটারগুলোতে এই ঠিকানাগুলো বরাদ্দ করাও প্রয়োজন ছিল। OpenVPN-সার্ভার, এর কনফিগারেশনে নিম্নলিখিত লাইনটি যোগ করে:

ifconfig-pool-persist /etc/openvpn/ipp.txt 0

এবং নিম্নলিখিত লাইনগুলিকে /etc/openvpn/ipp.txt ফাইলে যোগ করুন:

flat1_id 192.168.10.100
flat2_id 192.168.10.150

যেখানে flat1_id এবং flat2_id হলো সংযোগের জন্য সার্টিফিকেট তৈরি করার সময় নির্দিষ্ট করা ডিভাইসের নাম। OpenVPN

এরপর, রাউটারগুলো কনফিগার করা হয়েছিল। OpenVPNউভয় রাউটারের ক্লায়েন্ট ও tap0 ডিভাইসগুলোকে br-lan ব্রিজে যুক্ত করা হয়েছিল। এই পর্যায়ে, সবকিছু ঠিকঠাকই মনে হচ্ছিল, কারণ তিনটি নেটওয়ার্কই একে অপরকে দেখতে পাচ্ছিল এবং একটি একক ইউনিট হিসেবে কাজ করছিল। তবে, একটি বেশ অপ্রীতিকর বিষয় সামনে এল: মাঝে মাঝে ডিভাইসগুলো ভুল রাউটার থেকে আইপি অ্যাড্রেস পেয়ে যেত, যার ফলে নানা রকম সমস্যা দেখা দিত। কোনো এক কারণে, একটি অ্যাপার্টমেন্টের রাউটারটি সময়মতো DHCPDISCOVER-এ সাড়া দিতে ব্যর্থ হয় এবং ডিভাইসটি ভুল অ্যাড্রেস পেয়ে যায়। আমি বুঝতে পারলাম যে প্রতিটি রাউটারের tap0-তে এই ধরনের অনুরোধগুলো ফিল্টার করা প্রয়োজন, কিন্তু দেখা গেল যে, কোনো ডিভাইস ব্রিজের অংশ হলে iptables তার সাথে কাজ করতে পারে না, তাই আমাকে ebtables ব্যবহার করতে হয়েছিল। দুর্ভাগ্যবশত, আমার ফার্মওয়্যারে এটি অন্তর্ভুক্ত ছিল না, তাই আমাকে প্রতিটি ডিভাইসের জন্য ইমেজগুলো পুনরায় তৈরি করতে হয়েছিল। এটি করার পর এবং প্রতিটি রাউটারের /etc/rc.local-এ নিম্নলিখিত লাইনগুলো যোগ করার পর, সমস্যাটির সমাধান হয়ে যায়:

ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP

এই কনফিগারেশন তিন বছর ধরে চলেছিল।

পর্ব ২: পরিচিতি পর্ব WireGuard

সম্প্রতি ইন্টারনেটে এ নিয়ে আলোচনা বাড়ছে WireGuardএর কনফিগারেশনের সহজতা, উচ্চ ট্রান্সফার স্পিড, কম পিং এবং তুলনীয় নিরাপত্তায় মুগ্ধ হয়ে। এ সম্পর্কে অতিরিক্ত তথ্য খুঁজতে গিয়ে জানা গেল যে এটি ব্রিজ মেম্বার বা টিসিপি প্রোটোকল কোনোটিই সমর্থন করে না, যার ফলে আমি এই সিদ্ধান্তে পৌঁছালাম যে এর আর কোনো বিকল্প নেই। OpenVPN আমার জন্য সেটা এখনও সেই পর্যায়ে পৌঁছায়নি। তাই আমি জানার চেষ্টাটা পিছিয়ে দিয়েছি। WireGuard.

কিছুদিন আগে, তথ্যপ্রযুক্তি-সম্পর্কিত বিভিন্ন সূত্রের মাধ্যমে নানাভাবে এই খবর ছড়িয়ে পড়ে যে... WireGuard অবশেষে কার্নেলে অন্তর্ভুক্ত করা হবে Linuxসংস্করণ ৫.৬ থেকে শুরু করে। বরাবরের মতোই সংবাদ নিবন্ধগুলো প্রশংসিত হয়েছিল। WireGuardআমি আবারও সেই পুরোনো ভালো জিনিসটিকে প্রতিস্থাপন করার উপায় খুঁজতে ঝাঁপিয়ে পড়লাম। OpenVPNএবার আমার দেখা হলো এই নিবন্ধটি. এটি GRE ব্যবহার করে L3 এর উপর একটি ইথারনেট টানেল তৈরি করার কথা বলেছে। এই নিবন্ধটি আমাকে আশা দিয়েছে। UDP প্রোটোকলের সাথে কী করতে হবে তা অস্পষ্ট রয়ে গেছে। অনুসন্ধান আমাকে একটি UDP পোর্ট ফরোয়ার্ড করার জন্য একটি SSH টানেলের সাথে একত্রে socat ব্যবহার সম্পর্কে নিবন্ধে নিয়ে গিয়েছিল, তবে, তারা উল্লেখ করেছে যে এই পদ্ধতিটি শুধুমাত্র একক সংযোগ মোডে কাজ করে, যার মানে একাধিক VPN ক্লায়েন্ট অসম্ভব হবে। আমি একটি ভিপিএস-এ একটি ভিপিএন সার্ভার সেট আপ করার এবং ক্লায়েন্টদের জন্য জিআরই কনফিগার করার ধারণা নিয়ে এসেছি, কিন্তু যেমনটি দেখা গেছে, জিআরই এনক্রিপশন সমর্থন করে না, যার ফলে তৃতীয় পক্ষ সার্ভারে অ্যাক্সেস লাভ করলে, আমার নেটওয়ার্কগুলির মধ্যে সমস্ত ট্র্যাফিক তাদের হাতে রয়েছে যা আমাকে মোটেও উপযুক্ত করেনি।

আবার, নিম্নলিখিত স্কিম অনুযায়ী VPN এর উপর VPN ব্যবহার করে অপ্রয়োজনীয় এনক্রিপশনের পক্ষে সিদ্ধান্ত নেওয়া হয়েছিল:

লেয়ার XNUMX VPN:
ভিপিএস এটা হয় সার্ভার অভ্যন্তরীণ ঠিকানা 192.168.30.1 সহ
এমসি এটা হয় ক্লায়েন্ট ভিপিএস অভ্যন্তরীণ ঠিকানা সহ 192.168.30.2
MK2 এটা হয় ক্লায়েন্ট ভিপিএস অভ্যন্তরীণ ঠিকানা সহ 192.168.30.3
MK3 এটা হয় ক্লায়েন্ট ভিপিএস অভ্যন্তরীণ ঠিকানা সহ 192.168.30.4

লেয়ার XNUMX VPN:
এমসি এটা হয় সার্ভার বাহ্যিক ঠিকানা 192.168.30.2 এবং অভ্যন্তরীণ 192.168.31.1 সহ
MK2 এটা হয় ক্লায়েন্ট এমসি 192.168.30.2 ঠিকানা সহ এবং 192.168.31.2 এর একটি অভ্যন্তরীণ আইপি রয়েছে
MK3 এটা হয় ক্লায়েন্ট এমসি 192.168.30.2 ঠিকানা সহ এবং 192.168.31.3 এর একটি অভ্যন্তরীণ আইপি রয়েছে

* এমসি - অ্যাপার্টমেন্ট 1-এ রাউটার-সার্ভার, MK2 - অ্যাপার্টমেন্ট 2 এ রাউটার, MK3 - অ্যাপার্টমেন্ট 3 এ রাউটার
* ডিভাইস কনফিগারেশন নিবন্ধের শেষে স্পয়লারে প্রকাশিত হয়।

এবং তাই, নেটওয়ার্ক 192.168.31.0/24 এর নোডগুলির মধ্যে পিং করা হয়, এটি GRE টানেল সেট আপ করার জন্য এগিয়ে যাওয়ার সময়। তার আগে, রাউটারগুলিতে অ্যাক্সেস না হারাতে, ভিপিএস-এ পোর্ট 22 ফরোয়ার্ড করার জন্য এসএসএইচ টানেল স্থাপন করা মূল্যবান, যাতে, উদাহরণস্বরূপ, অ্যাপার্টমেন্ট 10022 থেকে একটি রাউটার ভিপিএসের 2 পোর্টে উপলব্ধ হবে এবং একটি অ্যাপার্টমেন্ট 11122-এর রাউটার VPS-এর 3 পোর্টে পাওয়া যাবে। অ্যাপার্টমেন্ট XNUMX থেকে রাউটার। একই sshtunnel দিয়ে ফরওয়ার্ডিং কনফিগার করা ভাল, কারণ এটি পড়ে গেলে টানেলটি পুনরুদ্ধার করবে।

টানেলটি কনফিগার করা হয়েছে, আপনি ফরোয়ার্ড করা পোর্টের মাধ্যমে SSH এর সাথে সংযোগ করতে পারেন:

ssh root@МОЙ_VPS -p 10022

এরপরে আপনাকে নিষ্ক্রিয় করতে হবে OpenVPN:

/etc/init.d/openvpn stop

এখন অ্যাপার্টমেন্ট 2 থেকে রাউটারে একটি GRE টানেল সেট আপ করা যাক:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up

এবং সেতুতে তৈরি ইন্টারফেস যোগ করুন:

brctl addif br-lan grelan0

আসুন সার্ভার রাউটারে একটি অনুরূপ পদ্ধতি সঞ্চালন করা যাক:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up

এবং, এছাড়াও, সেতুতে তৈরি ইন্টারফেস যোগ করুন:

brctl addif br-lan grelan0

এই মুহূর্ত থেকে শুরু করে, পিংগুলি সফলভাবে নতুন নেটওয়ার্কে যেতে শুরু করে এবং আমি, সন্তুষ্টির সাথে, কফি পান করতে যাই। তারপরে, তারের অপর প্রান্তের নেটওয়ার্কটি কীভাবে কাজ করে তা দেখতে, আমি অ্যাপার্টমেন্ট 2-এর একটি কম্পিউটারে SSH করার চেষ্টা করি, কিন্তু ssh ক্লায়েন্ট আমাকে পাসওয়ার্ডের জন্য অনুরোধ না করেই জমে যায়। আমি পোর্ট 22-এ টেলনেটের মাধ্যমে এই কম্পিউটারের সাথে সংযোগ করার চেষ্টা করি এবং একটি লাইন দেখতে পাচ্ছি যেখান থেকে আপনি বুঝতে পারবেন যে সংযোগটি প্রতিষ্ঠিত হচ্ছে, SSH সার্ভারটি সাড়া দিচ্ছে, কিন্তু কিছু কারণে এটি আমাকে প্রবেশ করার প্রস্তাব দেয় না।

$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1

আমি VNC এর মাধ্যমে এটির সাথে সংযোগ করার চেষ্টা করছি এবং আমি একটি কালো পর্দা দেখতে পাচ্ছি। আমি নিজেকে বিশ্বাস করি যে বিষয়টি দূরবর্তী কম্পিউটারে রয়েছে, কারণ আমি অভ্যন্তরীণ ঠিকানা ব্যবহার করে এই অ্যাপার্টমেন্ট থেকে রাউটারের সাথে সহজেই সংযোগ করতে পারি। যাইহোক, আমি রাউটারের মাধ্যমে এই কম্পিউটারে এসএসএইচ করার সিদ্ধান্ত নিয়েছি এবং আমি অবাক হয়েছি যে সংযোগটি সফল হয়েছে এবং দূরবর্তী কম্পিউটারটি ভাল কাজ করে কিন্তু আমার কম্পিউটারের সাথে সংযোগ করতে ব্যর্থ হয়।

আমি ব্রিজ থেকে grelan0 ডিভাইসটি বের করে চালাই। OpenVPN অ্যাপার্টমেন্ট ২-এর রাউটারে আমি নিশ্চিত হয়েছিলাম যে নেটওয়ার্কটি আবার ঠিকমতো কাজ করছে এবং সংযোগ বিচ্ছিন্ন হচ্ছে না। খোঁজাখুঁজি করতে গিয়ে আমি এমন কিছু ফোরাম খুঁজে পেলাম যেখানে লোকেরা একই সমস্যা নিয়ে অভিযোগ করছিল এবং তাদের MTU বাড়ানোর পরামর্শ দেওয়া হয়েছিল। বলা মাত্রই কাজ হয়ে গেল। কিন্তু, যতক্ষণ না MTU যথেষ্ট বেশি—gretap ডিভাইসের জন্য ৭০০০—সেট করা হচ্ছিল, ততক্ষণ আমি হয় TCP সংযোগ বিচ্ছিন্ন হওয়া অথবা ধীরগতির ট্রান্সফার স্পিডের সম্মুখীন হচ্ছিলাম। gretap-এর উচ্চ MTU-এর কারণে, সংযোগগুলোর MTU-ও বেশি হয়ে যাচ্ছিল। WireGuard প্রথম ও দ্বিতীয় স্তর যথাক্রমে ৮০০০ এবং ৭৫০০ নির্ধারণ করা হয়েছিল।

আমি অ্যাপার্টমেন্ট 3 থেকে রাউটারে একই রকম সেটআপ করেছি, একমাত্র পার্থক্য হল যে গ্রেলান 1 নামে একটি দ্বিতীয় গ্রেটপ ইন্টারফেস সার্ভার রাউটারে যুক্ত করা হয়েছিল, যা br-lan ব্রিজেও যুক্ত হয়েছিল।

সবকিছু কাজ করছে। এখন আপনি gretap সমাবেশ অটোলোডে রাখতে পারেন। এই জন্য:

অ্যাপার্টমেন্ট 2-এর রাউটারে /etc/rc.local-এ এই লাইনগুলি স্থাপন করা হয়েছে:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

অ্যাপার্টমেন্ট 3-এর রাউটারে এটিকে /etc/rc.local এ যোগ করা হয়েছে:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

এবং সার্ভার রাউটারে:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1

ক্লায়েন্ট রাউটারগুলো রিবুট করার পর আমি দেখতে পেলাম যে, কোনো এক কারণে সেগুলো সার্ভারের সাথে সংযুক্ত হচ্ছিল না। তাদের SSH-এ সংযোগ করার পর (সৌভাগ্যবশত, আমি এর জন্য আগেই sshtunnel কনফিগার করে রেখেছিলাম), আমি দেখতে পেলাম যে WireGuard কোনো এক কারণে, এটি এন্ডপয়েন্টের জন্য একটি রুট তৈরি করে, কিন্তু সেটি ভুল। উদাহরণস্বরূপ, 192.168.30.2-এর জন্য, রুট টেবিলে pppoe-wan ইন্টারফেসের মাধ্যমে, অর্থাৎ ইন্টারনেটের মাধ্যমে একটি রুট নির্দিষ্ট করা ছিল, যদিও এটির রুটটি wg0 ইন্টারফেসের মাধ্যমে পরিচালিত হওয়া উচিত ছিল। এই রুটটি মুছে ফেলার পর, সংযোগটি পুনরুদ্ধার হয়েছিল। এটি কীভাবে জোর করে করা যায়, সে সম্পর্কে আমি কি কোথাও নির্দেশনা খুঁজে পেতে পারি? WireGuard এই রুটগুলো তৈরি করা আমার পক্ষে এড়ানো সম্ভব ছিল না। অধিকন্তু, আমি এটাও বুঝতে পারিনি যে এটা OpenWRT-এর কোনো বৈশিষ্ট্য ছিল নাকি অন্য কিছুর। WireGuardসমস্যাটি বোঝার জন্য বেশি সময় ব্যয় না করে, আমি উভয় রাউটারের টাইমার-লুপ স্ক্রিপ্টে কেবল একটি লাইন যোগ করে দিয়েছি যা এই রুটটি মুছে দেয়:

route del 192.168.30.2

বুদ্ধিমান

সম্পূর্ণ প্রত্যাখ্যান OpenVPN আমি এখনও এটি অর্জন করতে পারিনি, কারণ মাঝে মাঝে আমাকে ল্যাপটপ বা ফোন থেকে একটি নতুন নেটওয়ার্কে সংযোগ করতে হয়, এবং সেগুলিতে একটি গ্রেট্যাপ ডিভাইস সেট আপ করা সাধারণত অসম্ভব। তবে, তা সত্ত্বেও, আমি অ্যাপার্টমেন্টগুলির মধ্যে ডেটা স্থানান্তরের গতিতে একটি সুবিধা পেয়েছি, এবং উদাহরণস্বরূপ, VNC ব্যবহার করা এখন ঝামেলামুক্ত। পিং সামান্য কমেছে কিন্তু আরও স্থিতিশীল হয়েছে:

ব্যবহার করার সময় OpenVPN:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms

--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms

ব্যবহার করার সময় WireGuard:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms

এটি বেশিরভাগই VPS থেকে উচ্চ পিং দ্বারা প্রভাবিত হয় যা প্রায় 61.5ms

তবে, গতি উল্লেখযোগ্যভাবে বেড়েছে। তাই, রাউটার-সার্ভারযুক্ত অ্যাপার্টমেন্টে আমি ৩০ এমবিপিএস ইন্টারনেট সংযোগ গতি পাই, এবং অন্য অ্যাপার্টমেন্টগুলোতে তা ৫ এমবিপিএস। তাছাড়া, ব্যবহারের সময় OpenVPN iperf রিডিং অনুযায়ী, আমি নেটওয়ার্কগুলোর মধ্যে 3,8 Mbps-এর বেশি ডেটা ট্রান্সফার স্পিড অর্জন করতে পারিনি, যদিও WireGuard একে বাড়িয়ে সেই একই ৫ মেগাবিট/সেকেন্ডে নিয়ে যাওয়া হলো।

কনফিগারেশন WireGuard ভিপিএস-এ[Interface]
Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>

[সমকক্ষ ব্যক্তি]
পাবলিক কী = <VPN_1_MS_PUBLIC_KEY>
অনুমোদিত আইপি = 192.168.30.2/32

[সমকক্ষ ব্যক্তি]
পাবলিক কী = <VPN_2_MK2_পাবলিক কী>
অনুমোদিত আইপি = 192.168.30.3/32

[সমকক্ষ ব্যক্তি]
পাবলিক কী = <VPN_2_MK3_পাবলিক কী>
অনুমোদিত আইপি = 192.168.30.4/32

কনফিগারেশন WireGuard MS-এ ( /etc/config/network-এ যোগ করা হয়েছে)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.2/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - сервер
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option listen_port '51821'
        list addresses '192.168.31.1/24'
        option auto '1'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list allowed_ips '192.168.31.2'

config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3

        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list allowed_ips '192.168.31.3'

কনফিগারেশন WireGuard MK2-তে ( /etc/config/network-এ যোগ করা হয়েছে)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.3/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list addresses '192.168.31.2/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

কনফিগারেশন WireGuard MK3-তে ( /etc/config/network-এ যোগ করা হয়েছে)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.4/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list addresses '192.168.31.3/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

দ্বিতীয় স্তরের ভিপিএন-এর বর্ণিত কনফিগারেশনগুলিতে, আমি ক্লায়েন্টদের নির্দেশ দিই WireGuard পোর্ট ৫১৮২১। এটির প্রয়োজন হওয়ার কথা নয়, কারণ ক্লায়েন্ট যেকোনো খালি, সুবিধাবিহীন পোর্ট থেকেই সংযোগ স্থাপন করবে, কিন্তু আমি এটি এভাবে করেছি যাতে পোর্ট ৫১৮২১-এ আসা UDP সংযোগ ছাড়া বাকি সব রাউটারের wg0 ইন্টারফেসে আসা অন্য সব সংযোগ প্রত্যাখ্যান করতে পারি।

আমি আশা করি নিবন্ধটি কারও কাজে লাগবে।

দ্রষ্টব্য এছাড়াও, আমি আমার স্ক্রিপ্ট শেয়ার করতে চাই যা আমার নেটওয়ার্কে একটি নতুন ডিভাইস উপস্থিত হলে WirePusher অ্যাপ্লিকেশনে আমার ফোনে একটি PUSH বিজ্ঞপ্তি পাঠায়। এখানে স্ক্রিপ্টের একটি লিঙ্ক: github.com/r0ck3r/device_discover.

আপডেট: কনফিগারেশন OpenVPNসার্ভার এবং ক্লায়েন্ট

OpenVPN-সার্ভার

client-to-client

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key

dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo

OpenVPNক্লায়েন্ট

client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind

ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem

comp-lzo
persist-tun
persist-key
verb 3

আমি শংসাপত্র তৈরি করতে সহজ-আরএসএ ব্যবহার করেছি।

উত্স: www.habr.com