Hello mindenkinek, nemrég olvastam
Feladat
Van egy TP-Link WDR3500 router és egy Orange Pi Zero H2. Szeretnénk, ha az Orange Pi a szokásos módon titkosítaná az alagutakat, és ha valami történik vele, a VPN feldolgozás visszakerül a routerhez. Az útválasztó összes tűzfalbeállításának a korábbiak szerint kell működnie. És általában, a további hardverek hozzáadásának átláthatónak és mindenki számára észrevehetetlennek kell lennie. Az OpenVPN TCP-n keresztül működik, a TAP adapter híd módban van (szerver-híd).
döntés
Az USB-n keresztüli csatlakozás helyett úgy döntöttem, hogy az útválasztó egyik portját használom, és az összes VPN-híddal rendelkező alhálózatot az Orange Pi-hez csatlakoztatom. Kiderült, hogy a hardver fizikailag ugyanabban a hálózatban fog lógni, mint az útválasztó VPN-kiszolgálója. Ezt követően az Orange Pi-re pontosan ugyanazokat a szervereket telepítjük, a routeren pedig beállítunk valamiféle proxyt, hogy az minden bejövő kapcsolatot a külső szerverre küldjön, és ha az Orange Pi halott vagy nem elérhető, akkor a belső tartalék szerver. Vettem HAProxyt.
Így alakul:
- Egy ügyfél érkezik
- Ha a külső szerver nem érhető el, mint korábban, akkor a kapcsolat a belső szerverhez megy
- Ha rendelkezésre áll, az ügyfelet az Orange Pi elfogadja
- Az Orange Pi VPN-je dekódolja a csomagokat, és visszaküldi az útválasztóba
- A router elvezeti őket valahova
Megvalósítási példa
Tehát tegyük fel, hogy két hálózatunk van az útválasztón - a main(1) és a guest(2), mindegyikhez tartozik egy OpenVPN szerver a külső csatlakozáshoz.
Hálózati konfiguráció
Mindkét hálózatot egy porton kell irányítanunk, ezért 2 VLAN-t hozunk létre.
Az útválasztón a Network/Switch szakaszban hozzon létre VLAN-okat (például 1-es és 2-es), és engedélyezze azokat címkézett módban a kívánt porton, majd adja hozzá az újonnan létrehozott eth0.1-et és eth0.2-t a megfelelő hálózatokhoz (például add hozzá őket a brigde-hez).
Az Orange Pi-n két VLAN interfészt hozunk létre (van Archlinux ARM + netctl):
/etc/netctl/vlan-main
Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no
/etc/netctl/vlan-guest
Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no
És azonnal létrehozunk nekik két hidat:
/etc/netctl/br-main
Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp
/etc/netctl/br-guest
Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp
Engedélyezze az automatikus indítást mind a 4 profilhoz (netctl enable). Most egy újraindítás után az Orange Pi lógni fog a két szükséges hálózaton. Az Orange Pi interfészcímeit az útválasztó Static Leases részében konfiguráljuk.
ip addr show
4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
inet6 fe80::42:f0ff:fef8:23c8/64 scope link
valid_lft forever preferred_lft forever
5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
inet6 fe80::42:f0ff:fef8:23c8/64 scope link
valid_lft forever preferred_lft forever
6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
valid_lft 29379sec preferred_lft 21439sec
inet6 fe80::50c7:fff:fe89:716e/64 scope link
valid_lft forever preferred_lft forever
7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
valid_lft forever preferred_lft forever
inet6 fe80::ecea:19ff:fe31:3432/64 scope link
valid_lft forever preferred_lft forever
VPN beállítása
Ezután átmásoljuk az OpenVPN beállításait és a kulcsokat az útválasztóról. A beállítások általában itt találhatók /tmp/etc/openvpn*.conf
Alapértelmezés szerint a TAP módban futó openvpn és a szerver-híd inaktív állapotban tartja a felületet. Ahhoz, hogy minden működjön, hozzá kell adni egy szkriptet, amely a kapcsolat aktiválásakor fut le.
/etc/openvpn/main.conf
dev vpn-main
dev-type tap
client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3
setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh
/etc/openvpn/vpn-up.sh
#!/bin/sh
ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}
Ennek eredményeként, amint a kapcsolat létrejön, a vpn-main interfész hozzáadódik a br-mainhez. A vendég gridnél - hasonlóan a szerver-bridge-ben szereplő interfésznévig és címig.
Külső irányítási kérések és proxykezelés
Ennél a lépésnél az Orange Pi már képes fogadni a kapcsolatokat és csatlakoztatni a klienseket a szükséges hálózatokhoz. Már csak a bejövő kapcsolatok proxyjának konfigurálása van hátra az útválasztón.
Az útválasztó VPN-kiszolgálóit más portokra helyezzük, telepítjük a HAProxy-t az útválasztóra, és konfiguráljuk:
/etc/haproxy.cfg
global
maxconn 256
uid 0
gid 0
daemon
defaults
retries 1
contimeout 1000
option splice-auto
listen guest_vpn
bind :444
mode tcp
server 0-orange 192.168.2.3:444 check
server 1-local 127.0.0.1:4444 check backup
listen main_vpn
bind :443
mode tcp
server 0-orange 192.168.1.3:443 check
server 1-local 127.0.0.1:4443 check backup
Élvezd
Ha minden a tervek szerint ment, a kliensek Orange Pi-re váltanak, és a router processzora már nem melegszik fel, a VPN sebessége pedig jelentősen megnő. Ugyanakkor az útválasztón regisztrált összes hálózati szabály releváns marad. Az Orange Pi balesete esetén leesik, és a HAProxy áthelyezi a klienseket a helyi szerverekre.
Köszönöm figyelmüket, javaslatokat, javításokat szívesen fogadunk.
Forrás: will.com