ProHoster > Bloc > Administració > Acceleració d'OpenVPN en un encaminador Openwrt. Versió alternativa sense soldador i extremisme de maquinari

Acceleració d'OpenVPN en un encaminador Openwrt. Versió alternativa sense soldador i extremisme de maquinari

Acceleració d'OpenVPN en un encaminador Openwrt. Versió alternativa sense soldador i extremisme de maquinari

Hola a tothom, fa poc que he llegit article antic sobre com podeu accelerar OpenVPN en un encaminador transferint el xifratge a una peça de maquinari independent, que està soldada dins del mateix encaminador. Tinc un cas similar al de l'autor: TP-Link WDR3500 amb 128 megabytes de memòria RAM i un processador deficient que és completament incapaç de fer front al xifratge del túnel. Tanmateix, absolutament no volia entrar al router amb un soldador. A continuació es mostra la meva experiència de traslladar OpenVPN a una peça de maquinari independent amb còpia de seguretat al router en cas d'accident.

Tasca

Hi ha un encaminador TP-Link WDR3500 i un Orange Pi Zero H2. Volem que l'Orange Pi xifra els túnels com és habitual i, si li passa alguna cosa, el processament VPN tornarà a l'encaminador. Tota la configuració del tallafoc de l'encaminador hauria de funcionar com abans. I, en general, afegir maquinari addicional hauria de ser transparent i imperceptible per a tothom. OpenVPN funciona amb TCP, l'adaptador TAP està en mode pont (servidor-pont).

decisió

En lloc de connectar-me mitjançant USB, vaig decidir utilitzar un port de l'encaminador i connectar totes les subxarxes que tenen un pont VPN a l'Orange Pi. Resulta que el maquinari es penjarà físicament a les mateixes xarxes que el servidor VPN del router. Després d'això, instal·lem exactament els mateixos servidors a l'Orange Pi i al router configurem algun tipus de proxy perquè enviï totes les connexions entrants al servidor extern, i si l'Orange Pi està mort o no està disponible, aleshores al servidor. servidor de reserva intern. Vaig agafar HAProxy.

Resulta així:

  1. Arriba un client
  2. Si el servidor extern no està disponible, com abans, la connexió es dirigeix ​​​​al servidor intern
  3. Si està disponible, el client és acceptat per Orange Pi
  4. La VPN a Orange Pi desxifra els paquets i els torna a escopir a l'encaminador
  5. El router els encamina a algun lloc

Exemple d'implementació

Per tant, suposem que tenim dues xarxes a l'encaminador: principal (1) i convidada (2), per a cadascuna d'elles hi ha un servidor OpenVPN per connectar-se externament.

Configuració de la xarxa

Hem d'encaminar les dues xarxes a través d'un port, de manera que creem 2 VLAN.

A l'encaminador, a la secció Xarxa/Commutador, creeu VLAN (per exemple 1 i 2) i activeu-les en mode etiquetat al port desitjat, afegiu eth0.1 i eth0.2 recentment creades a les xarxes corresponents (per exemple, afegir-los a bridge).

A Orange Pi creem dues interfícies VLAN (tinc Archlinux ARM + netctl):

/etc/netctl/vlan-main

Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no

/etc/netctl/vlan-guest

Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no

I de seguida els creem dos ponts:

/etc/netctl/br-main

Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp

/etc/netctl/br-guest

Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp

Habiliteu l'inici automàtic per als 4 perfils (habilitat netctl). Ara, després d'un reinici, l'Orange Pi es penjarà a les dues xarxes necessàries. Configurem les adreces de la interfície a l'Orange Pi en Arrendaments estàtics del router.

ip addr show

4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
       valid_lft 29379sec preferred_lft 21439sec
    inet6 fe80::50c7:fff:fe89:716e/64 scope link 
       valid_lft forever preferred_lft forever

7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
       valid_lft forever preferred_lft forever
    inet6 fe80::ecea:19ff:fe31:3432/64 scope link 
       valid_lft forever preferred_lft forever

Configuració VPN

A continuació, copiem la configuració d'OpenVPN i les claus de l'encaminador. La configuració normalment es pot trobar a /tmp/etc/openvpn*.conf

De manera predeterminada, openvpn que s'executa en mode TAP i server-bridge manté la seva interfície inactiva. Perquè tot funcioni, cal afegir un script que s'executi quan s'activa la connexió.

/etc/openvpn/main.conf

dev vpn-main
dev-type tap

client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3

setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh

/etc/openvpn/vpn-up.sh

#!/bin/sh

ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}

Com a resultat, tan bon punt es produeixi la connexió, la interfície vpn-main s'afegirà a br-main. Per a la graella de convidats, de la mateixa manera, fins al nom i l'adreça de la interfície al pont del servidor.

Encaminament de sol·licituds externament i proxy

En aquest pas, Orange Pi ja pot acceptar connexions i connectar clients a les xarxes necessàries. Només queda configurar el proxy de les connexions entrants al router.

Transferim els servidors VPN del router a altres ports, instal·lem HAProxy al router i configurem:

/etc/haproxy.cfg

global
        maxconn 256
        uid 0
        gid 0
        daemon

defaults
        retries 1
        contimeout 1000
        option splice-auto

listen guest_vpn
        bind :444
        mode tcp
        server 0-orange 192.168.2.3:444 check
        server 1-local  127.0.0.1:4444 check backup

listen main_vpn
        bind :443
        mode tcp
        server 0-orange 192.168.1.3:443 check
        server 1-local  127.0.0.1:4443 check backup

Gaudeix

Si tot ha anat segons el previst, els clients canviaran a Orange Pi i el processador de l'encaminador ja no s'escalfarà i la velocitat de la VPN augmentarà significativament. Al mateix temps, totes les regles de xarxa que es registren a l'encaminador continuaran sent rellevants. En cas d'accident a l'Orange Pi, caurà i HAProxy transferirà clients als servidors locals.

Gràcies per la vostra atenció, els suggeriments i correccions són benvinguts.

Font: www.habr.com

Afegeix comentari