ProHoster > Blog > Administración > Acelerar OpenVPN nun enrutador Openwrt. Versión alternativa sen soldador e extremismo de hardware

Acelerar OpenVPN nun enrutador Openwrt. Versión alternativa sen soldador e extremismo de hardware

Acelerar OpenVPN nun enrutador Openwrt. Versión alternativa sen soldador e extremismo de hardware

Ola a todos, lin hai pouco artigo antigo sobre como pode acelerar OpenVPN nun enrutador transferindo o cifrado a unha peza de hardware separada, que está soldada dentro do propio enrutador. Teño un caso similar ao do autor: TP-Link WDR3500 con 128 megabytes de RAM e un procesador deficiente que é completamente incapaz de xestionar o cifrado do túnel. Non obstante, non quería entrar no enrutador cun soldador. A continuación móstrase a miña experiencia de mover OpenVPN a unha peza de hardware separada con copia de seguridade no enrutador en caso de accidente.

Tarefa

Hai un enrutador TP-Link WDR3500 e un Orange Pi Zero H2. Queremos que o Orange Pi encripte os túneles como é habitual e, se lle pasa algo, o procesamento da VPN volverá ao enrutador. Todas as configuracións do firewall do router deberían funcionar como antes. E, en xeral, engadir hardware adicional debería ser transparente e imperceptible para todos. OpenVPN funciona a través de TCP, o adaptador TAP está en modo ponte (servidor-ponte).

decisión

En lugar de conectarme por USB, decidín usar un porto do enrutador e conectar todas as subredes que teñan unha ponte VPN ao Orange Pi. Resulta que o hardware colgará fisicamente nas mesmas redes que o servidor VPN do enrutador. Despois diso, instalamos exactamente os mesmos servidores no Orange Pi e no enrutador configuramos algún tipo de proxy para que envíe todas as conexións entrantes ao servidor externo e, se o Orange Pi está morto ou non dispoñible, entón ao servidor. servidor alternativo interno. Tomei HAProxy.

Resulta así:

  1. Chega un cliente
  2. Se o servidor externo non está dispoñible, como antes, a conexión vai ao servidor interno
  3. Se está dispoñible, o cliente é aceptado por Orange Pi
  4. A VPN en Orange Pi descifra os paquetes e devolveos ao enrutador
  5. O enrutador envíaos a algún lugar

Exemplo de implantación

Entón, digamos que temos dúas redes no enrutador: principal (1) e convidada (2), para cada unha delas hai un servidor OpenVPN para conectarse externamente.

Configuración da rede

Necesitamos enrutar as dúas redes a través dun porto, polo que creamos 2 VLAN.

No enrutador, na sección Rede/Switch, cree VLAN (por exemplo 1 e 2) e actívaas no modo etiquetado no porto desexado, engade os eth0.1 e eth0.2 recén creados ás redes correspondentes (por exemplo, engádeos a bridge).

En Orange Pi creamos dúas interfaces VLAN (teño Archlinux ARM + netctl):

/etc/netctl/vlan-main

Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no

/etc/netctl/vlan-guest

Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no

E inmediatamente creamos dúas pontes para eles:

/etc/netctl/br-main

Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp

/etc/netctl/br-guest

Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp

Activa o inicio automático para os 4 perfís (habilitar netctl). Agora, despois dun reinicio, o Orange Pi colgarase nas dúas redes necesarias. Configuramos os enderezos de interface no Orange Pi en arrendamentos estáticos do router.

mostrar ip addr

4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
       valid_lft 29379sec preferred_lft 21439sec
    inet6 fe80::50c7:fff:fe89:716e/64 scope link 
       valid_lft forever preferred_lft forever

7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
       valid_lft forever preferred_lft forever
    inet6 fe80::ecea:19ff:fe31:3432/64 scope link 
       valid_lft forever preferred_lft forever

Configurando unha VPN

A continuación, copiamos a configuración de OpenVPN e as claves do enrutador. A configuración xeralmente pódese atopar en /tmp/etc/openvpn*.conf

De xeito predeterminado, openvpn funcionando en modo TAP e server-bridge mantén a súa interface inactiva. Para que todo funcione, cómpre engadir un script que se execute cando se activa a conexión.

/etc/openvpn/main.conf

dev vpn-main
dev-type tap

client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3

setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh

/etc/openvpn/vpn-up.sh

#!/bin/sh

ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}

Como resultado, tan pronto como se produza a conexión, a interface vpn-main engadirase a br-main. Para a grella de convidados, do mesmo xeito, ata o nome e o enderezo da interface en server-bridge.

Enrutamento de solicitudes externamente e proxy

Neste paso, Orange Pi xa pode aceptar conexións e conectar clientes ás redes requiridas. Todo o que queda é configurar o proxy das conexións entrantes no enrutador.

Transferimos os servidores VPN do router a outros portos, instalamos HAProxy no router e configuramos:

/etc/haproxy.cfg

global
        maxconn 256
        uid 0
        gid 0
        daemon

defaults
        retries 1
        contimeout 1000
        option splice-auto

listen guest_vpn
        bind :444
        mode tcp
        server 0-orange 192.168.2.3:444 check
        server 1-local  127.0.0.1:4444 check backup

listen main_vpn
        bind :443
        mode tcp
        server 0-orange 192.168.1.3:443 check
        server 1-local  127.0.0.1:4443 check backup

Goza

Se todo saíu segundo o previsto, os clientes cambiarán a Orange Pi e o procesador do enrutador xa non se quentará e a velocidade da VPN aumentará significativamente. Ao mesmo tempo, todas as regras de rede que estean rexistradas no enrutador seguirán sendo relevantes. En caso de accidente no Orange Pi, caerá e HAProxy transferirá clientes a servidores locais.

Grazas pola túa atención, benvidas suxestións e correccións.

Fonte: www.habr.com

Engadir un comentario