Salute à tutti, aghju lettu di pocu tempu nantu à cumu pudete accelerà OpenVPN in un router trasfirendu a criptografia à un pezzu separatu di hardware, chì hè saldatu in u router stessu. Aghju un casu simili à l'autore - TP-Link WDR3500 cù 128 megabytes di RAM è un processatore poveru chì hè completamente incapaci di affruntà a criptografia di tunnel. In ogni casu, ùn aghju micca vulutu entre in u router cù un ferru di saldatura. Quì sottu hè a mo sperienza di trasfurmà OpenVPN à un pezzu separatu di hardware cù copia di salvezza in u router in casu d'accidentu.
Objettivu
Ci hè un router TP-Link WDR3500 è un Orange Pi Zero H2. Vulemu chì l'Orange Pi cripta i tuneli cum'è di solitu, è se qualcosa succedi, u processu VPN torna à u router. Tutti i paràmetri di firewall in u router duveranu travaglià cum'è prima. È in generale, l'aghjunghje hardware supplementu deve esse trasparenti è imperceptible à tutti. OpenVPN travaglia nantu à TCP, l'adattatore TAP hè in modu ponte (server-bridge).
dicisioni
Invece di cunnette via USB, aghju decisu di utilizà un portu di u router è cunnette tutti i subnets chì anu un ponte VPN à l'Orange Pi. Risulta chì u hardware hà fisicu fisicu in e listessi rete cum'è u servitore VPN in u router. Dopu quì, installemu esattamente i stessi servitori nantu à l'Orange Pi, è nantu à u router avemu stallatu un tipu di proxy in modu chì mandate tutte e cunnessione entranti à u servitore esternu, è se l'Orange Pi hè mortu o indisponibile, allora à u servitore internu di fallback. Aghju pigliatu HAProxy.
Risulta cusì:
- Arriva un cliente
- Se u servitore esternu ùn hè micca dispunibule, cum'è prima, a cunnessione va à u servitore internu
- Se dispunibule, u cliente hè accettatu da Orange Pi
- VPN in Orange Pi decripta i pacchetti è li sputa torna in u router
- U router li dirige in qualchì locu
Esempiu di implementazione
Dunque, dicemu chì avemu duie rete in u router - main (1) è guest (2), per ognunu di elli ci hè un servitore OpenVPN per cunnette esternamente.
Cunfigurazione di a rete
Avemu bisognu di indirizzà e duie rete per un portu, cusì creamu 2 VLAN.
Nantu à u router, in a sezione Network/Switch, create VLAN (per esempiu 1 è 2) è attivate in u modu tagged in u portu desideratu, aghjunghje eth0.1 è eth0.2 appena creati à e rete currispundenti (per esempiu, aghjunghje à Brigde).
Nant'à Orange Pi creemu duie interfacce VLAN (aghju Archlinux ARM + netctl):
/etc/netctl/vlan-main
Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no
/etc/netctl/vlan-guest
Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no
È criemu immediatamente dui ponti per elli:
/etc/netctl/br-main
Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp
/etc/netctl/br-guest
Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp
Abilita l'autostart per tutti i 4 profili (netctl enable). Avà dopu à un reboot, l'Orange Pi s'impiccarà nantu à e duie rete richieste. Cunfiguremu l'indirizzi di l'interfaccia nantu à l'Orange Pi in Static Leases nantu à u router.
ip addr show
4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
inet6 fe80::42:f0ff:fef8:23c8/64 scope link
valid_lft forever preferred_lft forever
5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
inet6 fe80::42:f0ff:fef8:23c8/64 scope link
valid_lft forever preferred_lft forever
6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
valid_lft 29379sec preferred_lft 21439sec
inet6 fe80::50c7:fff:fe89:716e/64 scope link
valid_lft forever preferred_lft forever
7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
valid_lft forever preferred_lft forever
inet6 fe80::ecea:19ff:fe31:3432/64 scope link
valid_lft forever preferred_lft forever
Configurazione VPN
Dopu, copiemu i paràmetri per OpenVPN è e chjave da u router. I paràmetri sò generalmente truvati in /tmp/etc/openvpn*.conf
Per automaticamente, openvpn in esecuzione in modalità TAP è server-bridge mantene a so interfaccia inattiva. Per tuttu u travagliu, avete bisognu di aghjunghje un script chì corre quandu a cunnessione hè attivata.
/etc/openvpn/main.conf
dev vpn-main
dev-type tap
client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3
setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh
/etc/openvpn/vpn-up.sh
#!/bin/sh
ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}
In u risultatu, appena a cunnessione si faci, l'interfaccia vpn-main serà aghjuntu à br-main. Per a griglia d'ospiti - simile, finu à u nome di l'interfaccia è l'indirizzu in u servitore-ponte.
Instradamentu di e dumande esternamente è proxy
À questu passu, Orange Pi hè digià capaci di accettà cunnessione è cunnette i clienti à e rete richieste. Tuttu ciò chì resta hè di cunfigurà u proxy di e cunnessione entranti nantu à u router.
Trasferemu i servitori VPN di u router à altri porti, installate HAProxy nantu à u router è cunfigurà:
/etc/haproxy.cfg
global
maxconn 256
uid 0
gid 0
daemon
defaults
retries 1
contimeout 1000
option splice-auto
listen guest_vpn
bind :444
mode tcp
server 0-orange 192.168.2.3:444 check
server 1-local 127.0.0.1:4444 check backup
listen main_vpn
bind :443
mode tcp
server 0-orange 192.168.1.3:443 check
server 1-local 127.0.0.1:4443 check backup
Prufittate
Se tuttu hè andatu secondu u pianu, i clienti passanu à l'Orange Pi è u processatore di u router ùn si riscalda più, è a velocità di VPN aumenterà significativamente. À u listessu tempu, tutte e regule di rete chì sò registrate nantu à u router restanu pertinenti. In casu d'un accidentu nantu à l'Orange Pi, cascarà è HAProxy trasfirerà i clienti à i servitori lucali.
Grazie per a vostra attenzione, suggerimenti è correzioni sò benvenuti.
Source: www.habr.com