מעבר מ-OpenVPN ל-WireGuard כדי לשלב רשתות לרשת L2 אחת

ברצוני לחלוק את החוויה שלי בשילוב רשתות בשלוש דירות מרוחקות גיאוגרפית, שכל אחת מהן משתמשת בנתבי OpenWRT כשער, לרשת אחת משותפת. בבחירת שיטה לשילוב רשתות בין L3 עם ניתוב רשת משנה ל-L2 עם גישור, כאשר כל צמתי הרשת יהיו באותה רשת משנה, ניתנה העדפה לשיטה השנייה, שקשה יותר להגדיר אותה, אך מספקת הזדמנויות גדולות יותר, שכן תוכנן שימוש שקוף בטכנולוגיות ברשת שנוצרת Wake-on-Lan ו-DLNA.

חלק 1: רקע

OpenVPN נבחר בתחילה כפרוטוקול ליישום משימה זו, שכן, ראשית, הוא יכול ליצור התקן ברז שניתן להוסיף לגשר ללא בעיות, ושנית, OpenVPN תומך בפעולה על גבי פרוטוקול TCP, מה שגם היה חשוב, כי אף אחד לא מהדירות הייתה כתובת IP ייעודית, ולא הצלחתי להשתמש ב-STUN, מכיוון שהספק שלי חוסם מסיבה כלשהי חיבורי UDP נכנסים מהרשתות שלהם, בעוד שפרוטוקול TCP אפשר לי להעביר את יציאת שרת ה-VPN ל-VPS מושכר באמצעות SSH. כן, גישה זו נותנת עומס גדול, מכיוון שהנתונים מוצפנים פעמיים, אבל לא רציתי להכניס VPS לרשת הפרטית שלי, מכיוון שעדיין היה סיכון שצדדים שלישיים ישיגו שליטה עליו, לכן, יש מכשיר כזה ברשת הביתית שלי היה מאוד לא רצוי והוחלט לשלם עבור אבטחה עם תקורה גדולה.

כדי להעביר את הפורט בנתב שעליו תוכנן לפרוס את השרת, נעשה שימוש בתוכנית sshtunnel. לא אתאר את המורכבויות של התצורה שלו - זה נעשה די בקלות, רק אציין שהמשימה שלו הייתה להעביר את יציאת TCP 1194 מהנתב ל-VPS. לאחר מכן, שרת OpenVPN הוגדר במכשיר tap0, שהיה מחובר לגשר br-lan. לאחר שבדקתי את החיבור לשרת החדש שנוצר מהמחשב הנייד, התברר שהרעיון של העברת פורטים היה מוצדק והמחשב הנייד שלי הפך לחבר ברשת של הנתב, למרות שהוא לא היה בו פיזית.

נותר רק דבר אחד קטן לעשות: היה צורך להפיץ כתובות IP בדירות שונות כדי שלא יתנגשו ולהגדיר את הנתבים כלקוחות OpenVPN.
נבחרו כתובות ה-IP של הנתב וטווחי שרתי ה-DHCP הבאים:

• 192.168.10.1 עם טווח 192.168.10.2 - 192.168.10.80 עבור השרת
• 192.168.10.100 עם טווח 192.168.10.101 - 192.168.10.149 לראוטר בדירה מס' 2
• 192.168.10.150 עם טווח 192.168.10.151 - 192.168.10.199 לראוטר בדירה מס' 3

היה צורך גם להקצות בדיוק את הכתובות הללו לנתבי הלקוח של שרת OpenVPN על ידי הוספת השורה לתצורה שלו:

ifconfig-pool-persist /etc/openvpn/ipp.txt 0

והוספת השורות הבאות לקובץ /etc/openvpn/ipp.txt:

flat1_id 192.168.10.100
flat2_id 192.168.10.150

כאשר flat1_id ו-flat2_id הם שמות המכשירים שצוינו בעת יצירת אישורים לחיבור ל-OpenVPN

לאחר מכן, לקוחות OpenVPN הוגדרו בנתבים, התקני tap0 בשניהם נוספו לגשר br-lan. בשלב זה, נראה היה שהכל בסדר מכיוון שכל שלוש הרשתות יכלו לראות זו את זו ולעבוד כאחת. עם זאת, פרט לא נעים במיוחד צץ: לפעמים מכשירים יכלו לקבל כתובת IP שלא מהנתב שלהם, עם כל ההשלכות הנובעות מכך. משום מה, הנתב באחת הדירות לא הספיק להגיב בזמן ל-DHCPDISCOVER והמכשיר קיבל כתובת שלא הייתה מיועדת. הבנתי שאני צריך לסנן בקשות כאלה ב-tap0 בכל אחד מהנתבים, אבל כפי שהתברר, iptables לא יכולים לעבוד עם המכשיר אם הוא חלק מגשר ו-ebtables חייבים לבוא לעזרתי. לצערי, זה לא היה בקושחה שלי והייתי צריך לבנות מחדש את התמונות עבור כל מכשיר. על ידי ביצוע פעולה זו והוספת שורות אלה ל-/etc/rc.local של כל נתב, הבעיה נפתרה:

ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP

תצורה זו נמשכה שלוש שנים.

חלק 2: היכרות עם WireGuard

לאחרונה, אנשים באינטרנט התחילו יותר ויותר לדבר על WireGuard, מתפעלים מהפשטות של התצורה שלו, מהירות שידור גבוהה, פינג נמוך עם אבטחה דומה. חיפוש אחר מידע נוסף על זה הבהיר שלא עבודה כחבר גשר וגם עבודה על פרוטוקול TCP לא נתמכה על ידי זה, מה שגרם לי לחשוב שעדיין אין חלופות ל-OpenVPN עבורי. אז דחיתי את ההיכרות עם WireGuard.

לפני מספר ימים, חדשות התפשטו על פני משאבים כאלה או אחרים הקשורים ל-IT כי WireGuard ייכלל סוף סוף בליבת לינוקס, החל מגרסה 5.6. כתבות חדשות, כמו תמיד, שיבחו את WireGuard. שוב צללתי בחיפוש אחר דרכים להחליף את OpenVPN הישן והטוב. הפעם נתקלתי מאמר זה. זה דיבר על יצירת מנהרת Ethernet על L3 באמצעות GRE. המאמר הזה נתן לי תקווה. לא היה ברור מה לעשות עם פרוטוקול UDP. החיפוש הוביל אותי למאמרים על שימוש ב- socat בשילוב עם מנהרת SSH להעברת יציאת UDP, עם זאת, הם ציינו שגישה זו עובדת רק במצב חיבור יחיד, כלומר, העבודה של מספר לקוחות VPN תהיה בלתי אפשרית. הגעתי לרעיון להתקין שרת VPN ב-VPS ולהגדיר GRE עבור לקוחות, אבל כפי שהתברר, GRE אינו תומך בהצפנה, מה שיוביל לכך שאם צדדים שלישיים יקבלו גישה לשרת , כל התעבורה בין הרשתות שלי תהיה בידיים שלהם, מה שלא התאים לי בכלל.

שוב, ההחלטה התקבלה לטובת הצפנה מיותרת, על ידי שימוש ב-VPN דרך VPN באמצעות הסכימה הבאה:

VPN ברמה XNUMX:
VPS זה שרת עם כתובת פנימית 192.168.30.1
מ.ס. זה לָקוּחַ VPS עם כתובת פנימית 192.168.30.2
MK2 זה לָקוּחַ VPS עם כתובת פנימית 192.168.30.3
MK3 זה לָקוּחַ VPS עם כתובת פנימית 192.168.30.4

VPN ברמה שנייה:
מ.ס. זה שרת עם כתובת חיצונית 192.168.30.2 וכתובת פנימית 192.168.31.1
MK2 זה לָקוּחַ מ.ס. עם הכתובת 192.168.30.2 ויש לו IP פנימי 192.168.31.2
MK3 זה לָקוּחַ מ.ס. עם הכתובת 192.168.30.2 ויש לו IP פנימי 192.168.31.3

* מ.ס. — שרת נתב בדירה 1, MK2 - נתב בדירה 2, MK3 - נתב בדירה 3
* תצורות המכשיר מתפרסמות בספוילר בסוף המאמר.

וכך, פינגים פועלים בין צמתי רשת 192.168.31.0/24, הגיע הזמן לעבור להגדרת מנהרת GRE. לפני כן, כדי לא לאבד גישה לנתבים, כדאי להגדיר מנהרות SSH להעברת יציאה 22 ל-VPS, כך, למשל, הנתב מדירה 10022 יהיה נגיש ביציאה 2 של ה-VPS, וה-VPS. נתב מדירה 11122 יהיה נגיש בנתב יציאה 3 מדירה XNUMX. עדיף להגדיר העברה באמצעות אותו sshtunnel, מכיוון שהוא ישחזר את המנהרה אם היא תיכשל.

המנהרה מוגדרת, אתה יכול להתחבר ל-SSH דרך היציאה המועברת:

ssh root@МОЙ_VPS -p 10022

בשלב הבא עליך להשבית את OpenVPN:

/etc/init.d/openvpn stop

עכשיו בואו נגדיר מנהרת GRE על הנתב מדירה 2:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up

והוסיפו את הממשק שנוצר לגשר:

brctl addif br-lan grelan0

בואו נבצע הליך דומה בנתב השרת:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up

וגם הוסף את הממשק שנוצר לגשר:

brctl addif br-lan grelan0

החל מרגע זה, פינגים מתחילים לעבור בהצלחה לרשת החדשה ואני, בסיפוק, הולך לשתות קפה. לאחר מכן, כדי להעריך כיצד הרשת פועלת בקצה השני של הקו, אני מנסה להכניס SSH לאחד מהמחשבים בדירה 2, אך לקוח ה-ssh קופא מבלי לבקש סיסמה. אני מנסה להתחבר למחשב הזה דרך telnet ביציאה 22 ואני רואה קו שממנו אני יכול להבין שהחיבור נוצר, שרת ה-SSH מגיב, אבל משום מה זה פשוט לא מנחה אותי להיכנס ב.

$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1

אני מנסה להתחבר אליו דרך VNC ולראות מסך שחור. אני משכנע את עצמי שהבעיה היא במחשב המרוחק, כי אני יכול בקלות להתחבר לראוטר מהדירה הזו באמצעות הכתובת הפנימית. עם זאת, אני מחליט להתחבר ל-SSH של המחשב הזה דרך הראוטר ומופתע לגלות שהחיבור הצליח, והמחשב המרוחק עובד די רגיל, אבל הוא גם לא יכול להתחבר למחשב שלי.

אני מסיר את מכשיר grelan0 מהגשר ומפעיל את OpenVPN על הראוטר בדירה 2 ומוודא שהרשת שוב עובדת כמצופה והחיבורים לא נפלו. בחיפוש אני נתקל בפורומים שבהם אנשים מתלוננים על אותן בעיות, שם מומלץ להם להעלות את ה-MTU. לא מוקדם יותר מאשר נעשה. עם זאת, עד שה-MTU הוגדר גבוה מספיק - 7000 עבור התקני gretap, נצפו חיבורי TCP שנפלו או קצבי העברה נמוכים. בשל ה-MTU הגבוה ל-gretap, ה-MTUs עבור חיבורי WireGuard של שכבה 8000 ושכבה 7500 נקבעו ל-XNUMX ו-XNUMX בהתאמה.

ביצעתי הגדרה דומה על הנתב מדירה 3, כשההבדל היחיד הוא שנוסף לנתב השרת ממשק gretap שני בשם grelan1, שנוסף גם לגשר br-lan.

הכל עובד. כעת אתה יכול להכניס את מכלול gretap להפעלה. לזה:

שמתי את השורות האלה ב-/etc/rc.local בנתב בדירה 2:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

הוסיף את זה ל-/etc/rc.local בנתב בדירה 3:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ובנתב השרת:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1

לאחר אתחול מחדש של נתבי הלקוח, גיליתי שמשום מה הם לא מתחברים לשרת. לאחר התחברות ל-SSH שלהם (למרבה המזל, הגדרתי בעבר את sshtunnel לכך), התגלה ש-WireGuard מסיבה כלשהי יוצר מסלול עבור נקודת הקצה, אבל הוא היה שגוי. אז, עבור 192.168.30.2, טבלת המסלולים ציינה מסלול דרך ממשק pppoe-wan, כלומר דרך האינטרנט, למרות שהמסלול אליו היה צריך להיות מנותב דרך ממשק wg0. לאחר מחיקת המסלול הזה, החיבור שוחזר. לא הצלחתי למצוא הוראות בשום מקום כיצד לאלץ את WireGuard לא ליצור את המסלולים הללו. יתר על כן, אפילו לא הבנתי אם זו תכונה של OpenWRT או WireGuard עצמה. בלי צורך להתמודד עם בעיה זו במשך זמן רב, פשוט הוספתי שורה לשני הנתבים בסקריפט מתוזמן שמחק את המסלול הזה:

route del 192.168.30.2

תמצות

עדיין לא השגתי נטישה מוחלטת של OpenVPN, כיוון שלפעמים אני צריך להתחבר לרשת חדשה ממחשב נייד או טלפון, והגדרת מכשיר gretap עליהם בדרך כלל בלתי אפשרית, אבל למרות זאת, קיבלתי יתרון במהירות של העברת נתונים בין דירות ולמשל שימוש ב-VNC כבר לא נוח. הפינג ירד מעט, אך הפך ליציב יותר:

בעת שימוש ב-OpenVPN:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms

--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms

בעת שימוש ב-WireGuard:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms

הוא מושפע יותר מהפינג הגבוה ל-VPS, שהוא בערך 61.5 אלפיות השנייה

עם זאת, המהירות עלתה משמעותית. אז, בדירה עם נתב שרת יש לי מהירות חיבור לאינטרנט של 30 Mbit/sec, ובדירות אחרות היא 5 Mbit/sec. יחד עם זאת, בזמן השימוש ב-OpenVPN, לא הצלחתי להשיג מהירות העברת נתונים בין רשתות של יותר מ-3,8 Mbit/sec לפי קריאות iperf, בעוד WireGuard "הגביר" אותו לאותם 5 Mbit/sec.

תצורת WireGuard ב-VPS[Interface] Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_1_МС>
AllowedIPs = 192.168.30.2/32

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2>
AllowedIPs = 192.168.30.3/32

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3>
AllowedIPs = 192.168.30.4/32

תצורת WireGuard ב-MS (נוספה ל-/etc/config/network)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.2/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - сервер
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option listen_port '51821'
        list addresses '192.168.31.1/24'
        option auto '1'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list allowed_ips '192.168.31.2'

config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3

        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list allowed_ips '192.168.31.3'

תצורת WireGuard ב-MK2 (נוספה ל-/etc/config/network)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.3/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list addresses '192.168.31.2/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

תצורת WireGuard ב-MK3 (נוספה ל-/etc/config/network)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.4/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list addresses '192.168.31.3/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

בתצורות המתוארות ל-VPN ברמה שנייה, אני מפנה ללקוחות WireGuard ליציאה 51821. בתיאוריה, זה לא הכרחי, מכיוון שהלקוח ייצור חיבור מכל יציאה חופשית ללא פריבילגיה, אבל עשיתי זאת כך שניתן היה לאסור כל החיבורים הנכנסים בממשקי wg0 של כל הנתבים למעט חיבורי UDP נכנסים ליציאה 51821.

אני מקווה שהמאמר יועיל למישהו.

נ.ב. כמו כן, אני רוצה לשתף את הסקריפט שלי ששולח לי הודעת PUSH לטלפון שלי באפליקציית WirePusher כאשר מכשיר חדש מופיע ברשת שלי. הנה הקישור לתסריט: github.com/r0ck3r/device_discover.

עדכון: תצורה של שרת OpenVPN ולקוחות

שרת OpenVPN

client-to-client

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key

dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo

לקוח OpenVPN

client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind

ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem

comp-lzo
persist-tun
persist-key
verb 3

השתמשתי ב- easy-rsa כדי להפיק אישורים

מקור: www.habr.com