Sæl öll, ég las nýlega um hvernig þú getur flýtt fyrir OpenVPN á beini með því að flytja dulkóðun yfir á sérstakan vélbúnað sem er lóðaður inni í beininum sjálfum. Ég er með svipað mál og höfundurinn - TP-Link WDR3500 með 128 megabæti af vinnsluminni og lélegan örgjörva sem er algjörlega ófær um dulkóðun jarðganga. Hins vegar vildi ég alls ekki komast inn í routerinn með lóðajárni. Hér að neðan er reynsla mín af því að færa OpenVPN í sérstakan vélbúnað með öryggisafriti á beini ef slys ber að höndum.
Verkefni
Það er TP-Link WDR3500 beinir og Orange Pi Zero H2. Við viljum að Orange Pi dulkóði göngin eins og venjulega, og ef eitthvað gerist við það mun VPN-vinnslan snúa aftur í beininn. Allar eldveggsstillingar á routernum ættu að virka eins og áður. Og almennt ætti að bæta við viðbótarvélbúnaði að vera gagnsætt og ómerkjanlegt fyrir alla. OpenVPN virkar yfir TCP, TAP millistykkið er í brúarstillingu (miðlarabrú).
ákvörðun
Í stað þess að tengjast í gegnum USB ákvað ég að nota eitt tengi á routernum og tengja öll undirnet sem eru með VPN brú við Orange Pi. Það kemur í ljós að vélbúnaðurinn mun líkamlega hanga í sömu netkerfum og VPN netþjónninn á beini. Eftir það setjum við upp nákvæmlega sömu netþjónana á Orange Pi og á routernum settum við upp einhvers konar proxy þannig að hann sendir allar komandi tengingar á ytri netþjóninn og ef Orange Pi er dauður eða ófáanlegur, þá til innri varaþjónn. Ég tók HAProxy.
Það kemur í ljós svona:
- Viðskiptavinur kemur
- Ef ytri miðlarinn er ekki tiltækur, eins og áður, fer tengingin á innri netþjóninn
- Ef það er tiltækt er viðskiptavinurinn samþykktur af Orange Pi
- VPN á Orange Pi afkóðar pakka og spýtir þeim aftur inn í beininn
- Routerinn vísar þeim einhvers staðar
Framkvæmd dæmi
Svo, segjum að við höfum tvö net á leiðinni - aðal(1) og gestur (2), fyrir hvert þeirra er OpenVPN netþjónn til að tengjast utan.
Netstillingar
Við þurfum að leiða bæði netkerfin í gegnum eina höfn, þannig að við búum til 2 VLAN.
Á beininum, í Network/Switch hlutanum, búðu til VLAN (til dæmis 1 og 2) og virkjaðu þau í merktum ham á viðkomandi tengi, bættu nýstofnuðu eth0.1 og eth0.2 við samsvarandi netkerfi (til dæmis, bæta þeim við brigde).
Á Orange Pi búum við til tvö VLAN tengi (ég er með Archlinux ARM + netctl):
/etc/netctl/vlan-main
Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no
/etc/netctl/vlan-gestur
Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no
Og við búum strax til tvær brýr fyrir þá:
/etc/netctl/br-main
Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp
/etc/netctl/br-gestur
Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp
Virkja sjálfvirka ræsingu fyrir alla 4 sniðin (netctl virkja). Nú eftir endurræsingu mun Orange Pi hanga á tveimur nauðsynlegum netum. Við stillum viðmótsföngin á Orange Pi í Static Leases á leiðinni.
ip addr sýning
4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
inet6 fe80::42:f0ff:fef8:23c8/64 scope link
valid_lft forever preferred_lft forever
5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
inet6 fe80::42:f0ff:fef8:23c8/64 scope link
valid_lft forever preferred_lft forever
6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
valid_lft 29379sec preferred_lft 21439sec
inet6 fe80::50c7:fff:fe89:716e/64 scope link
valid_lft forever preferred_lft forever
7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
valid_lft forever preferred_lft forever
inet6 fe80::ecea:19ff:fe31:3432/64 scope link
valid_lft forever preferred_lft forever
VPN uppsetning
Næst afritum við stillingar fyrir OpenVPN og lykla af beininum. Stillingar er venjulega að finna í /tmp/etc/openvpn*.conf
Sjálfgefið er að openvpn sem keyrir í TAP ham og netþjónsbrú heldur viðmótinu óvirku. Til að allt virki þarftu að bæta við skriftu sem keyrir þegar tengingin er virkjuð.
/etc/openvpn/main.conf
dev vpn-main
dev-type tap
client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3
setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh
/etc/openvpn/vpn-up.sh
#!/bin/sh
ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}
Þess vegna, um leið og tengingin á sér stað, verður vpn-main viðmótinu bætt við br-main. Fyrir gestanetið - á sama hátt, allt að viðmótsheiti og heimilisfangi í server-bridge.
Beiðnibeiðnir ytra og umboð
Á þessu skrefi er Orange Pi nú þegar fær um að samþykkja tengingar og tengja viðskiptavini við nauðsynleg netkerfi. Allt sem er eftir er að stilla umboð fyrir komandi tengingar á beini.
Við flytjum routerinn VPN netþjóna yfir á aðrar hafnir, setjum HAProxy á beininn og stillum:
/etc/haproxy.cfg
global
maxconn 256
uid 0
gid 0
daemon
defaults
retries 1
contimeout 1000
option splice-auto
listen guest_vpn
bind :444
mode tcp
server 0-orange 192.168.2.3:444 check
server 1-local 127.0.0.1:4444 check backup
listen main_vpn
bind :443
mode tcp
server 0-orange 192.168.1.3:443 check
server 1-local 127.0.0.1:4443 check backup
Njóttu
Ef allt gekk að óskum munu viðskiptavinir skipta yfir í Orange Pi og örgjörvi leiðarinnar hitnar ekki lengur og VPN-hraði mun aukast verulega. Á sama tíma munu allar netreglur sem eru skráðar á beini halda áfram að gilda. Ef slys verður á Orange Pi mun hann detta af og HAProxy mun flytja viðskiptavini yfir á staðbundna netþjóna.
Þakka þér fyrir athyglina, ábendingar og leiðréttingar eru vel þegnar.
Heimild: www.habr.com