ProHoster > Blog > uprava > Ubrzavanje OpenVPN-a na Openwrt usmjerivaču. Alternativna verzija bez lemilice i hardverskog ekstremizma

Ubrzavanje OpenVPN-a na Openwrt usmjerivaču. Alternativna verzija bez lemilice i hardverskog ekstremizma

Ubrzavanje OpenVPN-a na Openwrt usmjerivaču. Alternativna verzija bez lemilice i hardverskog ekstremizma

Pozdrav svima, nedavno sam čitao stari članak o tome kako možete ubrzati OpenVPN na usmjerivaču prijenosom enkripcije na poseban dio hardvera, koji je zalemljen unutar samog usmjerivača. Imam sličan slučaj kao i autor - TP-Link WDR3500 sa 128 megabajta RAM-a i jadnim procesorom koji se potpuno ne može nositi s tunel enkripcijom. Međutim, apsolutno nisam želio ući u ruter s lemilom. Ispod je moje iskustvo premještanja OpenVPN-a na zaseban dio hardvera sa sigurnosnom kopijom na usmjerivaču u slučaju nezgode.

Zadatak

Tu je TP-Link WDR3500 ruter i Orange Pi Zero H2. Želimo da Orange Pi šifrira tunele kao i obično, a ako mu se nešto dogodi, VPN obrada vratit će se natrag na router. Sve postavke vatrozida na usmjerivaču trebale bi raditi kao prije. I općenito, dodavanje dodatnog hardvera mora biti transparentno i neprimjetno svima. OpenVPN radi preko TCP-a, TAP adapter je u bridge modu (poslužitelj-most).

odluka

Umjesto povezivanja putem USB-a, odlučio sam koristiti jedan port rutera i povezati sve podmreže koje imaju VPN most na Orange Pi. Ispada da će hardver fizički visjeti u istim mrežama kao i VPN poslužitelj na usmjerivaču. Nakon toga potpuno iste poslužitelje instaliramo na Orange Pi, a na ruteru postavimo nekakav proxy tako da sve dolazne veze šalje na vanjski poslužitelj, a ako je Orange Pi mrtav ili nedostupan, onda na interni rezervni poslužitelj. Uzeo sam HAProxy.

Ispada ovako:

  1. Dolazi klijent
  2. Ako je vanjski poslužitelj nedostupan, kao i prije, veza ide na interni poslužitelj
  3. Ako je dostupan, klijenta prihvaća Orange Pi
  4. VPN na Orange Pi dekriptira pakete i vraća ih natrag u usmjerivač
  5. Ruter ih usmjerava nekamo

Primjer implementacije

Dakle, recimo da imamo dvije mreže na ruteru - glavnu (1) i gostujuću (2), za svaku od njih postoji OpenVPN poslužitelj za eksterno povezivanje.

Mrežna konfiguracija

Moramo usmjeriti obje mreže kroz jedan port, pa stvaramo 2 VLAN-a.

Na routeru, u odjeljku Network/Switch, kreirajte VLAN-ove (na primjer 1 i 2) i omogućite ih u označenom načinu na željenom portu, dodajte novostvorene eth0.1 i eth0.2 odgovarajućim mrežama (na primjer, dodajte ih u brigde).

Na Orange Pi stvaramo dva VLAN sučelja (imam Archlinux ARM + netctl):

/etc/netctl/vlan-main

Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no

/etc/netctl/vlan-guest

Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no

I odmah stvaramo dva mosta za njih:

/etc/netctl/br-main

Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp

/etc/netctl/br-guest

Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp

Omogućite automatsko pokretanje za sva 4 profila (netctl enable). Nakon ponovnog pokretanja, Orange Pi će ostati na dvije potrebne mreže. Konfiguriramo adrese sučelja na Orange Pi u Static Leases na ruteru.

ip addr show

4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
       valid_lft 29379sec preferred_lft 21439sec
    inet6 fe80::50c7:fff:fe89:716e/64 scope link 
       valid_lft forever preferred_lft forever

7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
       valid_lft forever preferred_lft forever
    inet6 fe80::ecea:19ff:fe31:3432/64 scope link 
       valid_lft forever preferred_lft forever

Postavljanje VPN-a

Zatim kopiramo postavke za OpenVPN i ključeve s rutera. Postavke se obično mogu pronaći u /tmp/etc/openvpn*.conf

Prema zadanim postavkama, openvpn radi u TAP modu i server-bridge drži svoje sučelje neaktivnim. Da bi sve radilo, morate dodati skriptu koja se pokreće kada se veza aktivira.

/etc/openvpn/main.conf

dev vpn-main
dev-type tap

client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3

setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh

/etc/openvpn/vpn-up.sh

#!/bin/sh

ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}

Kao rezultat toga, čim se uspostavi veza, vpn-main sučelje će se dodati u br-main. Za gostujuću mrežu - slično, do naziva i adrese sučelja u poslužiteljskom mostu.

Eksterno usmjeravanje zahtjeva i proxy

U ovom koraku Orange Pi već može prihvatiti veze i povezati klijente s potrebnim mrežama. Sve što preostaje je konfigurirati proxying dolaznih veza na usmjerivaču.

VPN poslužitelje rutera prenosimo na druge portove, instaliramo HAProxy na ruter i konfiguriramo:

/etc/haproxy.cfg

global
        maxconn 256
        uid 0
        gid 0
        daemon

defaults
        retries 1
        contimeout 1000
        option splice-auto

listen guest_vpn
        bind :444
        mode tcp
        server 0-orange 192.168.2.3:444 check
        server 1-local  127.0.0.1:4444 check backup

listen main_vpn
        bind :443
        mode tcp
        server 0-orange 192.168.1.3:443 check
        server 1-local  127.0.0.1:4443 check backup

Uživati

Ako je sve išlo po planu, klijenti će prijeći na Orange Pi i procesor usmjerivača se više neće zagrijavati, a brzina VPN-a će se značajno povećati. U isto vrijeme, sva mrežna pravila koja su registrirana na usmjerivaču ostat će relevantna. U slučaju nezgode na Orange Piju, on će otpasti i HAProxy će klijente prebaciti na lokalne poslužitelje.

Hvala vam na pažnji, prijedlozi i ispravci su dobrodošli.

Izvor: www.habr.com

Dodajte komentar