નેટવર્કને એક L2 નેટવર્કમાં એકીકૃત કરવા OpenVPN થી WireGuard પર સ્થાનાંતરણ

હું ત્રણ ભૌગોલિક રીતે દૂરના એપાર્ટમેન્ટ્સમાં નેટવર્કને સંયોજિત કરવાનો મારો અનુભવ શેર કરવા માંગુ છું, જેમાંથી પ્રત્યેક એક સામાન્ય નેટવર્કમાં OpenWRT સાથે ગેટવે તરીકે રાઉટરનો ઉપયોગ કરે છે. સબનેટ રૂટીંગ સાથે L3 અને બ્રિજિંગ સાથે L2 વચ્ચે નેટવર્કને સંયોજિત કરવા માટેની પદ્ધતિ પસંદ કરતી વખતે, જ્યારે બધા નેટવર્ક નોડ્સ એક જ સબનેટમાં હશે, ત્યારે બીજી પદ્ધતિને પ્રાધાન્ય આપવામાં આવ્યું હતું, જે રૂપરેખાંકિત કરવું વધુ મુશ્કેલ છે, પરંતુ વધુ તકો પૂરી પાડે છે, કારણ કે પારદર્શક વેક-ઓન-લેન અને ડીએલએનએ નેટવર્કમાં ટેક્નોલોજીનો ઉપયોગ કરવાનું આયોજન કરવામાં આવ્યું હતું.

ભાગ 1: પૃષ્ઠભૂમિ

ઓપનવીપીએનને શરૂઆતમાં આ કાર્યના અમલીકરણ માટે પ્રોટોકોલ તરીકે પસંદ કરવામાં આવ્યું હતું, કારણ કે, પ્રથમ, તે એક ટેપ ઉપકરણ બનાવી શકે છે જે કોઈપણ સમસ્યા વિના બ્રિજમાં ઉમેરી શકાય છે, અને બીજું, ઓપનવીપીએન TCP પ્રોટોકોલ પર કામગીરીને સમર્થન આપે છે, જે પણ મહત્વપૂર્ણ હતું, કારણ કે કોઈપણ એપાર્ટમેન્ટમાં સમર્પિત IP સરનામું નહોતું, અને હું STUN નો ઉપયોગ કરવામાં અસમર્થ હતો, કારણ કે કેટલાક કારણોસર મારા ISP તેમના નેટવર્ક્સમાંથી આવતા UDP કનેક્શન્સને અવરોધિત કરે છે, જ્યારે TCP પ્રોટોકોલે મને SSH નો ઉપયોગ કરીને ભાડે લીધેલા VPS પર VPN સર્વર પોર્ટ ફોરવર્ડ કરવાની મંજૂરી આપી હતી. હા, આ અભિગમ એક મોટો ભાર આપે છે, કારણ કે ડેટા બે વાર એન્ક્રિપ્ટ થયેલ છે, પરંતુ હું VPS ને મારા ખાનગી નેટવર્કમાં દાખલ કરવા માંગતો ન હતો, કારણ કે હજી પણ તેના પર તૃતીય પક્ષોનું નિયંત્રણ મેળવવાનું જોખમ હતું, તેથી, આવા ઉપકરણ રાખવાથી હોમ નેટવર્ક પર અત્યંત અનિચ્છનીય હતું અને મોટા ઓવરહેડ સાથે સુરક્ષા માટે ચૂકવણી કરવાનું નક્કી કરવામાં આવ્યું હતું.

રાઉટર પર પોર્ટને ફોરવર્ડ કરવા માટે કે જેના પર સર્વર જમાવવાનું આયોજન કરવામાં આવ્યું હતું, sshtunnel પ્રોગ્રામનો ઉપયોગ કરવામાં આવ્યો હતો. હું તેના રૂપરેખાંકનની જટિલતાઓનું વર્ણન કરીશ નહીં - આ એકદમ સરળતાથી કરવામાં આવે છે, હું ફક્ત નોંધ કરું છું કે તેનું કાર્ય TCP પોર્ટ 1194 ને રાઉટરથી VPS પર ફોરવર્ડ કરવાનું હતું. આગળ, OpenVPN સર્વરને tap0 ઉપકરણ પર ગોઠવવામાં આવ્યું હતું, જે br-lan બ્રિજ સાથે જોડાયેલ હતું. લેપટોપમાંથી નવા બનાવેલા સર્વરનું કનેક્શન તપાસ્યા પછી, તે સ્પષ્ટ થઈ ગયું કે પોર્ટ ફોરવર્ડિંગનો વિચાર પોતાને ન્યાયી ઠેરવ્યો અને મારું લેપટોપ રાઉટરના નેટવર્કનું સભ્ય બન્યું, જો કે તે ભૌતિક રીતે તેમાં ન હતું.

મામલો નાનો રહ્યો: વિવિધ એપાર્ટમેન્ટ્સમાં IP સરનામાઓનું વિતરણ કરવું જરૂરી હતું જેથી કરીને તેઓ સંઘર્ષ ન કરે અને રાઉટરને OpenVPN ક્લાયંટ તરીકે ગોઠવે.
નીચેના રાઉટર IP સરનામાઓ અને DHCP સર્વર રેન્જ પસંદ કરવામાં આવી હતી:

• 192.168.10.1 શ્રેણી સાથે 192.168.10.2 - 192.168.10.80 સર્વર માટે
• 192.168.10.100 શ્રેણી સાથે 192.168.10.101 - 192.168.10.149 એપાર્ટમેન્ટ નંબર 2 માં રાઉટર માટે
• 192.168.10.150 શ્રેણી સાથે 192.168.10.151 - 192.168.10.199 એપાર્ટમેન્ટ નંબર 3 માં રાઉટર માટે

ઓપનવીપીએન સર્વરના ક્લાયંટ રાઉટર્સને તેના રૂપરેખાંકનમાં લીટી ઉમેરીને બરાબર આ સરનામાંઓ સોંપવા પણ જરૂરી હતું:

ifconfig-pool-persist /etc/openvpn/ipp.txt 0

અને નીચેની લીટીઓને /etc/openvpn/ipp.txt ફાઇલમાં ઉમેરી રહ્યા છે:

flat1_id 192.168.10.100
flat2_id 192.168.10.150

જ્યાં Flat1_id અને flat2_id એ OpenVPN થી કનેક્ટ કરવા માટે પ્રમાણપત્રો જનરેટ કરતી વખતે ઉલ્લેખિત ઉપકરણ નામો છે

આગળ, OpenVPN ક્લાયંટને રાઉટર્સ પર ગોઠવવામાં આવ્યા હતા, બંને પરના tap0 ઉપકરણોને br-lan બ્રિજમાં ઉમેરવામાં આવ્યા હતા. આ તબક્કે, બધું વ્યવસ્થિત લાગતું હતું, કારણ કે ત્રણેય નેટવર્ક્સ એકબીજાને જુએ છે અને સંપૂર્ણ રીતે કાર્ય કરે છે. જો કે, ખૂબ જ સુખદ વિગત બહાર આવી નથી: કેટલીકવાર ઉપકરણોને તેમના રાઉટરમાંથી IP સરનામું મળી શકતું નથી, આગામી તમામ પરિણામો સાથે. કેટલાક કારણોસર, એક એપાર્ટમેન્ટમાંના રાઉટર પાસે સમયસર DHCPDISCOVER ને પ્રતિસાદ આપવા માટે સમય ન હતો અને ઉપકરણને ખોટું સરનામું મળ્યું. મને સમજાયું કે મારે દરેક રાઉટર પર tap0 માં આવી વિનંતીઓ ફિલ્ટર કરવાની જરૂર છે, પરંતુ તે બહાર આવ્યું તેમ, iptables ઉપકરણ સાથે કામ કરી શકતું નથી જો તે બ્રિજનો ભાગ હોય અને ebtables મારી સહાય માટે આવવું જોઈએ. મારા અફસોસ માટે, તે મારા ફર્મવેરમાં ન હતું અને મારે દરેક ઉપકરણ માટે છબીઓ ફરીથી બનાવવી પડી. આમ કરવાથી અને દરેક રાઉટરના /etc/rc.local માં આ રેખાઓ ઉમેરીને, સમસ્યા હલ થઈ ગઈ હતી:

ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP

આ ગોઠવણી ત્રણ વર્ષ સુધી ચાલી.

ભાગ 2: વાયરગાર્ડનો પરિચય

તાજેતરમાં, ઇન્ટરનેટ વધુને વધુ વાયરગાર્ડ વિશે વાત કરી રહ્યું છે, તેના રૂપરેખાંકનની સરળતા, ઉચ્ચ ટ્રાન્સફર સ્પીડ, તુલનાત્મક સુરક્ષા સાથે ઓછી પિંગની પ્રશંસા કરે છે. તેના વિશે વધુ માહિતી શોધવાથી તે સ્પષ્ટ થયું કે ન તો બ્રિજ મેમ્બર તરીકે કામ કરે છે અને ન તો TCP પ્રોટોકોલ પર કામ તેના દ્વારા સપોર્ટેડ છે, જેના કારણે મને લાગે છે કે મારા માટે OpenVPN માટે હજુ પણ કોઈ વિકલ્પ નથી. તેથી મેં વાયરગાર્ડને જાણવાનું ટાળ્યું.

થોડા દિવસો પહેલા, સંસાધનો દ્વારા એક યા બીજી રીતે આઇટી સંબંધિત સમાચાર ફેલાતા હતા કે વાયરગાર્ડ છેલ્લે વર્ઝન 5.6 થી શરૂ થતા Linux કર્નલમાં સામેલ થશે. સમાચાર લેખો, હંમેશની જેમ, વાયરગાર્ડની પ્રશંસા કરે છે. હું ફરીથી સારા જૂના OpenVPN ને બદલવાની રીતોની શોધમાં ડૂબી ગયો. આ વખતે હું અંદર દોડી ગયો આ લેખ. તે GRE નો ઉપયોગ કરીને L3 પર ઈથરનેટ ટનલ બનાવવા વિશે વાત કરે છે. આ લેખે મને આશા આપી. UDP પ્રોટોકોલ સાથે શું કરવું તે અસ્પષ્ટ રહ્યું. શોધ મને UDP પોર્ટ ફોરવર્ડ કરવા માટે SSH ટનલ સાથે જોડાણમાં સોકેટનો ઉપયોગ કરવા વિશેના લેખો તરફ દોરી ગઈ, જો કે, તેઓએ નોંધ્યું કે આ અભિગમ માત્ર એક કનેક્શન મોડમાં કામ કરે છે, જેનો અર્થ છે કે બહુવિધ VPN ક્લાયંટ અશક્ય હશે. મને VPS પર VPN સર્વર સેટ કરવા અને ક્લાયન્ટ્સ માટે GRE રૂપરેખાંકિત કરવાનો વિચાર આવ્યો, પરંતુ તે બહાર આવ્યું તેમ, GRE એન્ક્રિપ્શનને સપોર્ટ કરતું નથી, જે હકીકત તરફ દોરી જશે કે જો તૃતીય પક્ષો સર્વરની ઍક્સેસ મેળવે છે, મારા નેટવર્ક વચ્ચેનો તમામ ટ્રાફિક તેમના હાથમાં છે જે મને બિલકુલ અનુકૂળ ન હતો.

ફરીથી, નીચેની યોજના અનુસાર VPN પર VPN નો ઉપયોગ કરીને, રીડન્ડન્ટ એન્ક્રિપ્શનની તરફેણમાં નિર્ણય લેવામાં આવ્યો હતો:

સ્તર XNUMX VPN:
VPS તે સર્વર આંતરિક સરનામા 192.168.30.1 સાથે
એમ.સી. તે ગ્રાહક આંતરિક સરનામા સાથે VPS 192.168.30.2
MK2 તે ગ્રાહક આંતરિક સરનામા સાથે VPS 192.168.30.3
MK3 તે ગ્રાહક આંતરિક સરનામા સાથે VPS 192.168.30.4

લેયર XNUMX VPN:
એમ.સી. તે સર્વર બાહ્ય સરનામા 192.168.30.2 અને આંતરિક 192.168.31.1 સાથે
MK2 તે ગ્રાહક એમ.સી. 192.168.30.2 સરનામા સાથે અને 192.168.31.2 નું આંતરિક IP છે
MK3 તે ગ્રાહક એમ.સી. 192.168.30.2 સરનામા સાથે અને 192.168.31.3 નું આંતરિક IP છે

* એમ.સી. - એપાર્ટમેન્ટ 1 માં રાઉટર-સર્વર, MK2 - એપાર્ટમેન્ટ 2 માં રાઉટર, MK3 - એપાર્ટમેન્ટ 3 માં રાઉટર
* ઉપકરણ રૂપરેખાંકનો લેખના અંતે સ્પોઈલરમાં પ્રકાશિત કરવામાં આવ્યા છે.

અને તેથી, નેટવર્ક 192.168.31.0/24 ગોના નોડ્સ વચ્ચે પિંગ કરો, હવે GRE ટનલ સેટ કરવા માટે આગળ વધવાનો સમય છે. તે પહેલાં, રાઉટર્સની ઍક્સેસ ન ગુમાવવા માટે, પોર્ટ 22 ને VPS પર ફોરવર્ડ કરવા માટે SSH ટનલ સેટ કરવી યોગ્ય છે, જેથી ઉદાહરણ તરીકે, એપાર્ટમેન્ટ 10022 નું રાઉટર VPS ના પોર્ટ 2 પર ઉપલબ્ધ હશે, અને એપાર્ટમેન્ટ 11122 નું રાઉટર VPS ના પોર્ટ 3 પર ઉપલબ્ધ હશે. એપાર્ટમેન્ટ XNUMX નું રાઉટર. તે જ sshtunnel સાથે ફોરવર્ડિંગને ગોઠવવું શ્રેષ્ઠ છે, કારણ કે તે ટનલ પડી જાય તો તેને પુનઃસ્થાપિત કરશે.

ટનલ ગોઠવેલ છે, તમે ફોરવર્ડ પોર્ટ દ્વારા SSH સાથે કનેક્ટ કરી શકો છો:

ssh root@МОЙ_VPS -p 10022

આગળ, OpenVPN ને અક્ષમ કરો:

/etc/init.d/openvpn stop

હવે ચાલો એપાર્ટમેન્ટ 2 ના રાઉટર પર GRE ટનલ સેટ કરીએ:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up

અને બ્રિજ પર બનાવેલ ઇન્ટરફેસ ઉમેરો:

brctl addif br-lan grelan0

ચાલો સર્વર રાઉટર પર સમાન પ્રક્રિયા કરીએ:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up

અને, પણ, બ્રિજ પર બનાવેલ ઇન્ટરફેસ ઉમેરો:

brctl addif br-lan grelan0

આ ક્ષણથી, પિંગ્સ સફળતાપૂર્વક નવા નેટવર્ક પર જવાનું શરૂ કરે છે અને હું, સંતોષ સાથે, કોફી પીવા જાઉં છું. પછી, વાયરના બીજા છેડા પરનું નેટવર્ક કેવી રીતે કામ કરે છે તે જોવા માટે, હું એપાર્ટમેન્ટ 2 માંના એક કમ્પ્યુટરમાં SSH કરવાનો પ્રયાસ કરું છું, પરંતુ ssh ક્લાયંટ મને પાસવર્ડ માટે સંકેત આપ્યા વિના સ્થિર થઈ જાય છે. હું પોર્ટ 22 પર ટેલનેટ દ્વારા આ કમ્પ્યુટરથી કનેક્ટ કરવાનો પ્રયાસ કરું છું અને એક લાઇન જોઉં છું જેમાંથી તમે સમજી શકો છો કે કનેક્શન સ્થાપિત થઈ રહ્યું છે, SSH સર્વર પ્રતિસાદ આપી રહ્યું છે, પરંતુ કેટલાક કારણોસર તે મને દાખલ કરવાની ઑફર કરતું નથી.

$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1

હું તેને VNC દ્વારા કનેક્ટ કરવાનો પ્રયાસ કરી રહ્યો છું અને મને કાળી સ્ક્રીન દેખાય છે. હું મારી જાતને ખાતરી આપું છું કે આ બાબત રિમોટ કમ્પ્યુટરમાં છે, કારણ કે હું આંતરિક સરનામાંનો ઉપયોગ કરીને આ એપાર્ટમેન્ટમાંથી રાઉટર સાથે સરળતાથી કનેક્ટ કરી શકું છું. જો કે, હું રાઉટર દ્વારા આ કોમ્પ્યુટરમાં SSH કરવાનું નક્કી કરું છું અને કનેક્શન સફળ થાય છે અને રીમોટ કોમ્પ્યુટર બરાબર કામ કરે છે પરંતુ મારા કમ્પ્યુટર સાથે કનેક્ટ થવામાં નિષ્ફળ જાય છે તે જાણીને હું આશ્ચર્યચકિત છું.

હું grelan0 ઉપકરણને બ્રિજમાંથી બહાર કાઢું છું અને એપાર્ટમેન્ટ 2 માં રાઉટર પર OpenVPN શરૂ કરું છું અને ખાતરી કરું છું કે નેટવર્ક ફરીથી યોગ્ય રીતે કામ કરી રહ્યું છે અને કનેક્શન ઘટી રહ્યાં નથી. શોધ કરતી વખતે હું એવા ફોરમમાં આવ્યો છું જ્યાં લોકો સમાન સમસ્યાઓ વિશે ફરિયાદ કરે છે, જ્યાં તેમને MTU વધારવાની સલાહ આપવામાં આવે છે. કર્યું કરતાં વહેલું કહ્યું. જો કે, જ્યાં સુધી MTU ને ગ્રેટેપ ઉપકરણો માટે 7000 ની મોટી કિંમત પર સેટ કરવામાં આવ્યું ન હતું, ત્યાં સુધી TCP કનેક્શન ઘટી ગયા હતા અથવા ધીમા ટ્રાન્સમિશન જોવા મળ્યા હતા. ગ્રેટેપ માટે ઉચ્ચ MTU હોવાને કારણે, પ્રથમ અને બીજા સ્તરના વાયરગાર્ડ કનેક્શન માટે MTU અનુક્રમે 8000 અને 7500 પર સેટ કરવામાં આવ્યા હતા.

મેં એપાર્ટમેન્ટ 3 ના રાઉટર પર સમાન સેટઅપ કર્યું, માત્ર એટલો જ તફાવત એ છે કે સર્વર રાઉટરમાં grelan1 નામનું બીજું gretap ઇન્ટરફેસ ઉમેરવામાં આવ્યું હતું, જે br-lan બ્રિજમાં પણ ઉમેરવામાં આવ્યું હતું.

બધું કામ કરી રહ્યું છે. હવે તમે gretap એસેમ્બલીને ઓટોલોડમાં મૂકી શકો છો. આ માટે:

એપાર્ટમેન્ટ 2 માં રાઉટર પર આ રેખાઓ /etc/rc.local માં મૂકી:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

એપાર્ટમેન્ટ 3 માં રાઉટર પર આને /etc/rc.local માં ઉમેર્યું:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

અને સર્વર રાઉટર પર:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1

ક્લાયંટ રાઉટર્સને રીબૂટ કર્યા પછી, મને જાણવા મળ્યું કે કેટલાક કારણોસર તેઓ સર્વર સાથે કનેક્ટ થયા નથી. તેમના SSH (સદભાગ્યે, મેં અગાઉ આ માટે sshtunnel રૂપરેખાંકિત કર્યું હતું) સાથે કનેક્ટ કરી રહ્યા છીએ, તે જાણવા મળ્યું કે વાયરગાર્ડ કેટલાક કારણોસર એન્ડપોઇન્ટ માટે માર્ગ બનાવે છે, જ્યારે તે ખોટું છે. તેથી, 192.168.30.2 માટે, રૂટ ટેબલ રૂટ ટેબલમાં pppoe-wan ઈન્ટરફેસ દ્વારા સ્પષ્ટ કરવામાં આવ્યું હતું, એટલે કે, ઈન્ટરનેટ દ્વારા, જો કે તેનો માર્ગ wg0 ઈન્ટરફેસ દ્વારા નિર્દેશિત થયેલ હોવો જોઈએ. આ માર્ગ કાઢી નાખ્યા પછી, કનેક્શન પુનઃસ્થાપિત કરવામાં આવ્યું હતું. વાયરગાર્ડને આ માર્ગો ન બનાવવા માટે દબાણ કેવી રીતે કરવું તે અંગે મને ક્યાંય સૂચનાઓ મળી નથી. તદુપરાંત, હું એ પણ સમજી શક્યો નથી કે આ ઓપનડબ્લ્યુઆરટીનું લક્ષણ છે કે વાયરગાર્ડનું. લાંબા સમય સુધી આ સમસ્યાનો સામનો કર્યા વિના, મેં ટાઈમર દ્વારા લૂપ કરેલી સ્ક્રિપ્ટમાં બંને રાઉટર્સમાં સરળ રીતે ઉમેર્યું, એક લાઇન જેણે આ માર્ગને કાઢી નાખ્યો:

route del 192.168.30.2

એકત્ર કરવું

મેં હજી સુધી OpenVPN નો સંપૂર્ણ અસ્વીકાર પ્રાપ્ત કર્યો નથી, કારણ કે મારે ક્યારેક લેપટોપ અથવા ફોનથી નવા નેટવર્ક સાથે કનેક્ટ કરવાની જરૂર પડે છે, અને તેના પર ગ્રેટેપ ઉપકરણ સેટ કરવું સામાન્ય રીતે અશક્ય છે, પરંતુ આ હોવા છતાં, મને ડેટા ટ્રાન્સફરમાં ફાયદો મળ્યો એપાર્ટમેન્ટ્સ વચ્ચે ઝડપ અને, ઉદાહરણ તરીકે, VNC નો ઉપયોગ હવે અસુવિધાજનક નથી. પિંગમાં થોડો ઘટાડો થયો, પરંતુ વધુ સ્થિર બન્યો:

OpenVPN નો ઉપયોગ કરતી વખતે:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms

--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms

વાયરગાર્ડનો ઉપયોગ કરતી વખતે:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms

તે મોટે ભાગે ઉચ્ચ પિંગ થી VPS થી પ્રભાવિત થાય છે જે લગભગ 61.5ms છે

જો કે, ઝડપ નોંધપાત્ર રીતે વધી છે. તેથી, રાઉટર-સર્વરવાળા એપાર્ટમેન્ટમાં, મારી પાસે 30 Mbps ની ઇન્ટરનેટ કનેક્શન સ્પીડ છે, અને અન્ય એપાર્ટમેન્ટમાં, 5 Mbps. તે જ સમયે, OpenVPN નો ઉપયોગ કરતી વખતે, હું iperf અનુસાર 3,8 Mbps કરતાં વધુના નેટવર્ક્સ વચ્ચે ડેટા ટ્રાન્સફર રેટ હાંસલ કરી શક્યો નથી, જ્યારે WireGuardએ તેને સમાન 5 Mbps સુધી "પમ્પ" કર્યો હતો.

VPS પર વાયરગાર્ડ ગોઠવણી[Interface] Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_1_МС>
AllowedIPs = 192.168.30.2/32

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2>
AllowedIPs = 192.168.30.3/32

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3>
AllowedIPs = 192.168.30.4/32

MS પર વાયરગાર્ડ રૂપરેખાંકન (/etc/config/network માં ઉમેરાયેલ)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.2/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - сервер
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option listen_port '51821'
        list addresses '192.168.31.1/24'
        option auto '1'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list allowed_ips '192.168.31.2'

config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3

        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list allowed_ips '192.168.31.3'

MK2 પર વાયરગાર્ડ રૂપરેખાંકન (/etc/config/network માં ઉમેરાયેલ)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.3/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list addresses '192.168.31.2/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

MK3 પર વાયરગાર્ડ રૂપરેખાંકન (/etc/config/network માં ઉમેરાયેલ)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.4/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list addresses '192.168.31.3/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

બીજા સ્તરના VPN માટે વર્ણવેલ રૂપરેખાંકનોમાં, હું WireGuard ક્લાયંટ માટે પોર્ટ 51821 નો ઉલ્લેખ કરું છું. સિદ્ધાંતમાં, આ જરૂરી નથી, કારણ કે ક્લાયંટ કોઈપણ મફત બિન-વિશેષાધિકૃત પોર્ટથી કનેક્શન સ્થાપિત કરશે, પરંતુ મેં તેને બનાવ્યું છે જેથી તમામ ઇનકમિંગ કનેક્શન પોર્ટ 0 પર ઇનકમિંગ UDP કનેક્શન સિવાય, બધા રાઉટર્સના wg51821 ઇન્ટરફેસ પર નકારી શકાય છે.

હું આશા રાખું છું કે લેખ કોઈને ઉપયોગી થશે.

PS ઉપરાંત, હું મારી સ્ક્રિપ્ટ શેર કરવા માંગુ છું જે મારા નેટવર્ક પર નવું ઉપકરણ દેખાય ત્યારે મને WirePusher એપ્લિકેશનમાં મારા ફોન પર પુશ સૂચના મોકલે છે. અહીં સ્ક્રિપ્ટની લિંક છે: github.com/r0ck3r/device_discover.

સુધારો: OpenVPN સર્વર અને ક્લાયંટ ગોઠવણી

OpenVPN સર્વર

client-to-client

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key

dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo

ઓપનવીપીએન ક્લાયંટ

client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind

ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem

comp-lzo
persist-tun
persist-key
verb 3

મેં પ્રમાણપત્રો બનાવવા માટે સરળ-આરએસએનો ઉપયોગ કર્યો.

સોર્સ: www.habr.com